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Vorwort 



Compliance verstanden als Gesamtkonzept organisatorischer Maßnahmen, mit denen die 
Rechtmäßigkeit der unternehmerischen Aktivitäten gewährleistet werden soll, ist kein (rei- 
nes) Rechtsproblem. Die Identifikation der (rechtlichen) Risiken bildet nur einen - wenn 
auch einen wichtigen - Ausgangspunkt, von dem aus der Handlungsbedarf ermittelt und die 
entsprechenden organisatorischen Maßnahmen im Unternehmen entwickelt und umgesetzt 
werden, um diesen Risiken zu begegnen. 

Dass der Aufbau und die Implementierung einer derartigen Organisation ein schwieriger, 
umfangreicher und auch kostspieliger Prozess sein kann, muss hier nicht besonders betont 
werden. Gleichwohl hat der Deutsche Corporate Govemance Kodex in Ziff. 4.1.3 nunmehr 
die Compliance ausdrücklich als Geschäftsleitungsaufgabe verankert und macht durch seine 
sprachliche Darstellung deutlich, dass er Compliance als geltendes Gesetzesrecht versteht. 
Wenn der Deutsche Corporate Govemance Kodex auch grundsätzlich nur für börsennotierte 
Aktiengesellschaften relevant ist, darf dies nicht darüber hinwegtäuschen, dass die Pflicht zu 
einer entsprechenden Organisation auch nicht börsennotierte Aktiengesellschaften und Unter- 
nehmen anderer Rechtsformen trifft. 

Eine solche Verpflichtung ist Anlass genug, sich mit der Compliance im eigenen Unterneh- 
men zu befassen. Wichtig dürfte aber ein weiterer Aspekt sein, der in der weiten Compliance- 
Diskussion unberechtigterweise häufig in den Hintergrund gedrängt wird. Eine gut integrierte 
Compliance -Organisation erschöpft sich keinesfalls in der Funktion eines „Risikomini- 
mierers“ oder „Schadens- und Haftungsverhinderers“. Vielmehr steigert eine solche Organi- 
sation die Untemehmensefflzienz und kann dadurch den Untemehmenserfolg fördern. Die 
Risikominimierung stellt sich bei zunehmend funktionierenden Compliance-Strukturen ledig- 
lich als ein Aspekt und ein Effekt guter Corporate Compliance dar. 

Der vorliegende Band will im Kontext verschiedener Schwerpunktbereiche, die sich in der 
Praxis als besonders „compliance-relevant“ erwiesen haben, immer wieder den Schnittpunkt 
von Rechtspflichten und Unternehmensorganisation beleuchten. Ziel soll es sein, einerseits 
relevante Pflichten herauszuarbeiten und andererseits den Unternehmen zugleich untemeh- 
mensorganisatorische Umsetzungsansätze an die Hand zu geben. 

In diesem Zusammenhang gilt der besondere Dank der Herausgeber den Autoren, die ihre aus 
langjähriger Praxis in den jeweiligen Beratungsschwerpunkten gewonnenen Erkenntnisse 
haben einfließen lassen und ihre Erfahrungen in diesem Buch einem größeren Interessenten- 
kreis zugänglich machen. 
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Vorwort 



Wir hoffen, den Lesern mit den folgenden Beiträgen Anregungen und Hinweise geben zu 
können, die ihnen bei ihrer täglichen Arbeit helfen. Das Buch versteht sich als Einstieg in die 
Problematik mit einer auf das Wesentliche konzentrierten, aktuellen und praxisorientierten 
Darstellung. Entsprechend beschränken sich die Hinweise zu weiterführender Literatur ganz 
überwiegend auf Beiträge jüngeren Datums. 

Herausgeber und Autoren streben den Dialog mit dem Leser dieses Buches bzw. den Verant- 
wortlichen für Compliance im Unternehmen an. Fragen und Anregungen sind deshalb jeder- 
zeit willkommen und können unter vomame.nachname@luther-lawfirm.com direkt an die 
jeweiligen Autoren oder an die Herausgeber gerichtet werden. 

Köln, im März 2008 Dr. Gregor Wecker 

Hendrik van Laak 
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Compliance in der Unternehmerpraxis 

Eberhard Vetter 



1. Einleitung 



Compliance war vor gut zehn Jahren in Deutschland ein noch gänzlich unbekannter Begriff. 
Er umschreibt die Pflicht, die für das Unternehmen geltenden Gesetze einzuhalten. Dies ist 
keine neue Erkenntnis. Insoweit ist Compliance zu Recht als eine Binsenweisheit bezeichnet 
worden. Neu ist jedoch die Einbettung der Compliance in einen größeren Zusammenhang. 
Es wäre für die Geschäftsleitung eine Illusion zu glauben, Compliance vollziehe sich im 
Unternehmen stets von selbst. Richtig ist vielmehr, dass eine vorbildliche Compliance sowohl 
aus organisationstheoretischer Sicht wie auch aus rechtlicher Sicht ein proaktives Vorgehen 
der Geschäftsleitung erforderlich macht und das gesamte Unternehmen erfassen muss. 
Compliance beschränkt sich deshalb nicht allein auf das Postulat der Rechtstreue des Unter- 
nehmens, sondern umschreibt die Summe der organisatorischen Maßnahmen eines Unter- 
nehmens, mit denen gewährleistet werden soll, dass sich die Geschäftsleitung wie auch die 
Mitarbeiter des Unternehmens rechtmäßig verhalten. 

Angesichts des immer umfangreicher werdenden Verantwortungs- und Handlungsrahmens 
der Geschäftsleitung, der durch zivilrechtliche und öffentlich-rechtliche Pflichten bestimmt 
wird und aus dem sich eine Vielzahl von rechtlichen Risiken für das Unternehmen ergeben, 
haben die Vorstände und Geschäftsführer vieler Gesellschaften erkannt, dass sie in weitem 
Umfang präventiv tätig zu werden haben, wenn sie ihrer Compliance- Verantwortung nach- 
kommen wollen. Sie wollen es gerade nicht allein damit belassen, darauf zu vertrauen, dass 
sich die Organisation, für die sie Verantwortung tragen, gesetzeskonform und ordnungsgemäß 
verhält, sondern sie haben Compliance zur Chefsache erklärt. Sie verstehen Compliance nicht 
nur als bloße Prävention gegenüber Risiken aus Rechtsverstößen, sondern erkennen nicht 
selten in einem funktionierenden Compliance-Management auch den strategischen Vorteil 
gegenüber dem Wettbewerb. Dabei ist nicht nur daran zu denken, dass mit Hilfe von Compli- 
ance -Maßnahmen vermieden werden kann, dass z. B. ein Unternehmen wegen Rechtsverstö- 
ßen auf die sog. Schwarze Liste geraten kann und damit von künftigen lukrativen Aufträgen 
ausgeschlossen ist, sondern auch an die generell wachsende Erkenntnis, dass Unternehmen in 



1 Uwe. H. Schneider, ZIP 2003, 645, 646. 
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der Regel lieber mit Gesellschaften in Geschäftsbeziehungen treten, bei denen sie nicht mit 
dem Risiko rechnen müssen, dass dort Rechtsverstöße und Unregelmäßigkeiten festgestellt 
werden, die auf ihre eigenen Geschäftsaktivitäten und ihre eigene Reputation am Markt 
durchschlagen können. 2 Damit erweist sich Compliance nicht nur als Bestandteil einer good 
Corporate Govemance sondern auch als Marketing-Faktor. 

Die Bedeutung der Compliance darf auch aus volkswirtschaftlicher Sicht nicht unterschätzt 
werden. Jüngsten Untersuchungen zufolge wird allein in Deutschland der Schaden durch 
Korruption auf rund 4,3. Milliarden geschätzt. 3 Bemerkenswert ist auch, dass nach einer 
Umfrage unter Inhouse- Juristen in den USA dem Thema Compliance die oberste Priorität 
noch vor der Kostenkontrolle eingeräumt wird. 4 Die zunehmende Zahl von Compliance- 
Beauftragten oder Compliance -Abteilugnen in deutschen Unternehmen bestätigen diesen 
Befund. 



2. Compliance als Geschäftsleitungsaufgabe 

2.1 Begriff und Zweck der Compliance 



Es gibt weder eine gesetzliche Definition von Compliance, noch ist eine allgemein anerkann- 
te Definition bislang vorhanden. Aber seit der Neufassung des Deutschen Corporate Gover- 
nance Kodex, die am 20. Juli 2007 im elektronischen Bundesanzeiger bekannt gemacht wor- 
den ist, 5 steht eine Umschreibung zur Verfügung, die sich primär an börsennotierte Aktienge- 
sellschaften richtet (§ 161 AktG), die aber durchaus auch als allgemeine Definition der 
Corporate Compliance gelten kann. 6 

Ziffer 4.1.3 Deutscher Corporate Govemance Kodex formuliert wie folgt: 

„Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmens- 
internen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen 
hin (Compliance). “ 



2 Freiwillige ISO-Zertifizierungen und vergleichbare Maßnahmen zur Zertifizierung der Einhaltung von 
Umwelt und Sozialstandards mögen hier als Vorbilder dienen. 

3 Vgl. Studie Wirtschaftskriminalität 2007, herausgegeben von PricewaterhouseCoopers und Martin-Luther- 
Universität Wittenberg, 2007, S. 15. 

4 Umfrage der Association of Corporate Counsel (ACC), Juve Datenbank vom 6. November 2006, im 
Internet zugänglich über www.juve.de. 

5 Im Internet zugänglich unter www.ebundesanzeiger.de 

6 Vgl. Bürkle, BB 2007, 1797, 1998; E. Vetter, DB 2007, 1963. 
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Hinzuweisen ist darauf, dass die Kodex-Kommission die Pflicht zur Compliance zu Recht 
nicht nur auf die Beachtung der gesetzlichen Bestimmungen beschränkt hat, sondern auch die 
untemehmensinternen Regelwerke, also vor allem Satzung und Geschäftsordnung aber z. B. 
auch Merk- und Informationsblätter, Unterschriftenregelungen, Arbeitsanweisungen und 
Konzemrundschreiben in die Compliance einbezogen hat. 

Handelt es sich um ein Unternehmen, das an der Spitze eines Konzerns steht, erstreckt sich 
die Compliance auch auf die Konzemuntemehmen, soweit das herrschende Unternehmen 
rechtlich in der Lage ist, die eigenen Compliance-Vorstellungen durchzusetzen. 7 Dies ist kraft 
Weisungsrecht nach § 308 AktG dann möglich, wenn zwischen dem herrschenden Unternehmen 
und der Tochtergesellschaft ein Beherrschungsvertrag i. S. von § 291 AktG besteht. Ist die 
Tochtergesellschaft in der Rechtsform der GmbH organisiert, kann die Weisung auch durch 
einen entsprechenden Beschluss der Gesellschafterversammlung nach § 37 Abs. 1 GmbHG 
erfolgen, der für die Geschäftsführer bindend ist. 8 Bei einer Tochtergesellschaft in der Rechts- 
form der AG bleibt im faktischen Konzern infolge der Schranken der §§ 311 ff. AktG jedoch 
der Konzemspitze nur die Möglichkeit, gegenüber der Geschäftsleitung der Tochtergesell- 
schaft auf die Beachtung der Compliance-Vorstellungen der Konzemspitze in geeigneter 
Weise hinzuwirken. Rechtliche Instrumente zur Durchsetzung der Vorstellungen der Kon- 
zemspitze bestehen in diesem Fall nicht. 9 

Compliance dient der Risiko Vorbeugung und der Schadensabwehr im Unternehmen. Sie ist 
regelmäßig geeignet, Schadensersatzansprüche Dritter gegen die Gesellschaft (sog. Außen- 
haftung) abzuwehren wie auch Ansprüche der Gesellschaft gegen die Mitglieder des Ge- 
schäftsleitungs- und des Aufsichtsorgans (sog. Innenhaftung) zu vermeiden. Dabei ist von 
erheblicher Bedeutung, dass im Bereich der Innenhaftung die Mitglieder des Vorstands einer 
AG die Beweislast dafür tragen, dass sie bei ihrer Geschäftsführung die notwendige Sorgfalt 
beachtet haben (§ 93 Abs. 2 Satz 2 AktG). Im GmbHG findet sich keine mit § 93 Abs. 2 AktG 
vergleichbare Vorschrift. Für die Geschäftsführer einer GmbH gilt nach allgemeiner Meinung 
gleichwohl die Regelung des § 93 Abs. 2 Satz 2 AktG analog. 10 

Compliance versteht sich auch als Teil des Risikofrüherkennungs- und Überwachungssystem 
(sog. Risikomanagement), zu dessen Einrichtung und Unterhaltung der Vorstand einer AG 
nach § 91 Abs. 2 AktG im Hinblick auf existenzgefahrdende Risiken verpflichtet ist und wie 
es auch in Ziffer 4.1.4 Deutscher Corporate Govemance Kodex ausdrücklich angesprochen 
wird. Zahlreiche Risiken aus Rechtsverstößen können durchaus eine bestandsgefahrende 
Dimension einnehmen, was die Nähe der Compliance zum Risikofrüherkennungssystem im 
Sinne § 91 Abs. 2 AktG unterstreicht. 11 Das GmbHG enthält keine mit § 91 Abs. 2 AktG 
vergleichbare Vorschrift. Gleichwohl besteht allgemein Einigkeit, dass auch die Geschäfts- 



~ Fleischer, DB 2005, 759, 763; vgl. auch Sven H. Schneider/Uwe H. Schneider, AG 2005, 57, 59. 

® Altmeppen, in: Roth/Altmeppen, GmbHG, 5. Aufl. 2005, § 37 Rn. 3; Zöllner/Noack, in: Baumbach/Hueck, 
GmbHG 18. Aufl. 2006, § 37 Rn. 18. 

9 Vgl. generell zur Konzem-Compliance Uwe H. Schneider/Sven H. Schneider ZIP 2007, 2061. 

16 BGH v. 4. 11. 2002 - II ZR 224/00, BGHZ 152, 280, 283; Zöllner/Noack, in: Baumbach/Hueck, GmbHG, 
18. Aufl. 2006, §43 Rn. 204. 

11 Ähnlich Uwe H. Schneider ZIP 2003, 645, 649. 
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führung einer GmbH eine entsprechende Pflicht und systematische Maßnahmen zur Erfas- 
sung bestandsgefahrdender Risiken zu ergreifen hat, sofern das Unternehmen eine kritische 
Größe erreicht hat. 12 Entsprechendes lässt sich auf die Compliance- Verantwortung übertra- 
gen. Compliance versteht sich primär als Prävention reicht aber darüber hinaus. Auch eine 
vorbildliche Compliance-Organisation vermag Regelverstöße nicht vollkommen auszuschlie- 
ßen. Compliance umfasst deshalb auch das Krisenmangement im Unternehmen. Bei Eintritt 
einer Krise durch einen Regelverstoß findet die Compliance Ausdruck in den Maßnahmen 
zur Krisenbewältigung und Schadensminderung. 13 



2.2 Rechtsgrundlage der Compliance 



Das Deutsche Recht kennt keine Gesetzesnorm, die die Geschäftsleitung einer AG oder 
GmbH ausdrücklich zur Vornahme systematischer Compliance-Maßnahmen und zur Einrichtung 
einer allgemeinen Compliance-Organisation verpflichtet. Allerdings sieht § 76 Abs. 1 AktG 
vor, dass der Vorstand die Gesellschaft unter eigener Verantwortung zu leiten hat und, wie 
§ 93 Abs. 1 AktG bestimmt, dabei die Sorgfalt eines ordentlichen und gewissenhaften Ge- 
schäftsleiters anzuwenden hat. Für die GmbH Geschäftsführer findet sich, was ihre Sorgfalts- 
pflichten anbetrifft, die Parallele zu § 93 Abs. 1 AktG in § 43 Abs. 1 GmbHG. Aus den §§ 76 
Abs. 1 und 93 Abs. 1 AktG lässt sich grundsätzlich eine organschaftliche Pflicht des Vorstands 
zur Compliance ableiten. 4 Als weitere Rechtsgrundlage für die Ergreifung von Compliance- 
Maßnahmen lassen sich auch die §§ 3, 9 und 130 OWiG heranziehen. § 130 OWiG weist die 
Pflichtenstellung der Aktiengesellschaft als Inhaberin des Betriebes bzw. des Unternehmens 
dem Vorstand, beziehungsweise der Geschäftsführung der juristischen Person zu mit der 
Folge, dass das Organmitglied grundsätzlich für alle Verletzungen bußgeldbewehrter Pflich- 
ten in einem Unternehmen zur Rechenschaft gezogen werden kann, soweit der Verstoß auf 
eine Verletzung von Aufsichtspflichten zurückgeführt werden kann. Berücksichtigt man, dass 
eine Vielzahl öffentlich-rechtlicher Pflichten eines Unternehmens in irgendeiner Form mit 
einem Bußgeld bewehrt sind (z. B. Kartellrecht, Kapitalmarktrecht, Umweltrecht, Daten- 
schutzrecht, Arbeitsstrafrecht, Außenwirtschaftsrecht), lässt sich dem Ordnungswidrigkeiten- 
recht damit mittelbar die Verpflichtung zur Einrichtung einer Compliance-Organisation ent- 
nehmen, für die die Mitglieder des Geschäftsleitungsorgans selbst verantwortlich sind. 



12 Altmeppen, in: Roth/Altmeppen, GmbHG, 5. Aufl. 2005, §43 Rn. 10; Lutter/HommelhofF/öeinüteft, 
GmbHG 16. Aufl. 2005, § 43 Rn. 1 1 . 

13 Vgl. dazu z. B. Rodewald/Unger, BB 2007, 1629, 1633. 

14 Fleischer, AG 2003, 291, 299; Uwe. H. Schneider, ZIP 2003, 645, 648; E. Vetter, in: Rrieger/Uwe H. 
Schneider (Hrsg.), Handbuch Managerhaftung, 2007, § 17 Rn. 29; zurückhaltend freilich Hauschka, ZIP 
2004, 877, 882. 

15 Siehe zur Kartellrechts-Compliance Kapitel 10: Janssen, Kartellrechts-Compliance und weiter z. B. Dreher, 
in: Krieger/Uwe. H. Schneider (Hrsg.), Managerhaftung, 2007, § 29 Rn. 59 ff.; Pampel, BB 2007, 1636; 
zur Kapitalmarktrechts-Compliance z. B. Krämer, in: Krieger/Uwe. H. Schneider (Hrsg.), Managerhaf- 
tung, 2007, § 26 Rn. 67 ff. und zur Umweltrechts-Compliance z. B. Uwer, in: Krieger/Uwe. H. Schneider 
(Hrsg.), Managerhaftung, 2007, § 32 Rn. 18 ff. 
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Die Veranwortung für die Einrichtung eines Compliance-Systems trägt die Geschäftsleitung 
im Rahmen ihrer Leitungsaufgabe. 16 Eine Verpflichtung für konkrete Compliance- 
Maßnahmen in einem Unternehmen lässt sich aus den genannten Vorschriften jedoch nicht 
ableiten. Auch der Deutsche Corporate Govemance Kodex enthält keine konkreten Vorgaben 
oder Empfehlungen zu Art und Umfang der Compliance. Compliance ist keine konfektionier- 
te Standard-Organisation. Vielmehr hängt die konkrete Ausgestaltung der Compliance in 
einem Untenehmen vom jeweiligen Geschäftszweig und dem konkreten Untemehmensge- 
genstand, der Größe und Komplexität des Unternehmens und der Untemehmensstruktur und 
damit letztlich von seinem individuellen Risikoprofil ab. 17 Die individuellen Compliance- 
Maßnahmen stehen im Übrigen generell unter dem Vorbehalt des unternehmerischen Ermes- 
sens des Vorstands im Sinne von § 93 Abs. 1 S 2 AktG und unterliegen damit der sog. Busi- 
ness Judgment Rule. Der Vorstand hat über Art und Umfang der organisatorischen Maßnah- 
men zu entscheiden, wie für die Rechtstreue im Unternehmen gesorgt werden soll und auf 
welche Weise Rechtsverstöße verhindert werden sollen. Dies bedeutet, dass das Geschäftslei- 
tungsorgan bei der Festlegung der Anforderungen und der Dimensionierung einer Complian- 
ce-Organisation nach sorgfältiger Ermittlung der relevanten Risikofaktoren das individuelle 
Gefahrenpotential und Risikoszenario des Unternehmens beurteilen und bewerten muss. Die 
Geschäftsleitung muss die jeweiligen Konsequenzen für das Unternehmen vor Augen haben, 
die bei Eintritt eines spezifischen Risikos entstehen können. Versäumnisse können einen 
Sorgfaltsverstoß im Sinne von § 93 Abs. 2 AktG und § 43 Abs. Abs. 2 GmbFIG bilden. 18 



2.3 Das Risikopotential der Unternehmen bei 
Rechtsverstößen 



Die Risiken der Unternehmen aus Gesetzesverstößen, Schadensfällen oder sonstigen Miss- 
ständen infolge von unterlassener oder unzureichender Compliance -Maßnahmen sind vielfäl- 
tig und sollten keinesfalls unterschätzt werden. Jüngste Negativbeispiele, die in der Öffent- 
lichkeit große Aufmerksamkeit erzielt haben, können dabei als Mahnung dafür dienen (VW, 
Siemens, Ahold, WestLB), welche Wirkungen das Bekanntwerden von Gesetzesverstößen auf 
das öffentliche Ansehen eines Unternehmens, die Motivation seiner Mitarbeiter, die Akzep- 
tanz seiner Produkte am Markt und damit letztlich auf seine wirtschaftliche Situation haben 
kann. 

Ein Rechtsverstoß und Compliance-bezogener Missstand im Unternehmen kann dramatische 
Konsequenzen für das Unternehmen bedeuten, die vom Reputationsverlust über erhebliche 



16 Biirkle, in: Hauschka (Hrsg.), Corporate Compliance, 2007, § 8 Rn. 5; Fleischer, in: Fleischer (Hrsg.), 
Handbuch des Vorstandsrechts, 2006, § 8 Rn. 44; Uwe. H. Schneider, ZIP 2003, 645, 646. 

1^ Siehe allgemein Fleischer, in: Fleischer (Hrsg.), Handbuch des Vorstandsrechts, 2006, § 8 Rn. 44; Hausch- 
ka, AG 2004, 461, 465; Hefermehl/Spindler. in: MüKo/AktG, 2. Aufl. 2004, § 76 Rn. 28. 

18 Fleischer, AG 2003, 291, 300. 
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finanzielle Einbußen bis hin zu strafrechtlichen Maßnahmen reichen. Beispielhaft lassen sich 
die folgenden Konsequenzen zu nennen: 

■ Gefährdung durch negative Presseberichte über das Unternehmen 

■ Werteverfall für die Shareholder 

■ Eingreifen des Aufsichtsrates 

■ Eingreifen von Aufsichtsbehörden 

■ Betriebsstillegung 

■ Untemehmenskrise, Gefährdung der Arbeitsplätze 

■ Bußgelder bis zu 10 % des Konzemumsatzes, Vergabesperre und „Blacklisting“ 

■ Verfall des mit inkriminierten Geschäften erzielten Erlöses an die Staatskasse 

■ Untersuchungshaft und Haft für Manager, Geldstrafen für Management und Unternehmen 

■ Einstweilige Verfügung gegen einzelne Geschäftsaktivitäten 

■ Pfändung von Bankkonten 

■ Schadensersatzforderungen durch Kunden, Wettbewerber und Verbraucher 

■ Beschäftigung des Managements mit Verteidigungsaktivitäten zu Lasten der Konzentrati- 
on auf das Geschäft 

■ Bedrohung der beruflichen Existenz der Organmitglieder 



3. Compliance als Aufgabe des Aufsichtsrats 



Ziffer 3.4 Abs. 2 Deutscher Corporate Govemance Kodex in der Fassung vom 20. Juli 2007 
geht auf die Berichtspflichten des Vorstands gegenüber dem Aufsichtsrat nach § 90 AktG ein 
und ergänzt sie ausdrücklich um Informationen zur Compliance im Unternehmen. Aus Ziffer 
3.4 Abs. 2 wie auch aus Ziffer 5.3.2 Deutscher Corporate Govemance Kodex wird damit 
deutlich, dass Compliance auch im Verantwortungsbereich des Aufsichtsrats hegt, der im 
Rahmen seiner allgemeinen Überwachungsaufgabe nach § 111 Abs. 1 AktG die Rechtmäßig- 
keit und Ordnungsmäßigkeit der Geschäftsleitung des Vorstands zu kontrollieren hat. 19 Dies 
schließt die Verantwortung des Aufsichtsrats ein, den Vorstand dahin zu überwachen, ob er 



19 E. Vetter, in: Marsch-Bamer/Schäfer (Hrsg.), Handbuch börsennotierte AG, 2005, § 26 Rn. 10; Wiesner, in: 
Hoffmann-Becking (Hrsg.), Münchener Handbuch Gesellschaftsrecht AQ 3. Aufl. 2007, § 25 Rn. 5. 
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der Compliance- Verantwortung nachgekommen und bei seiner Entscheidung über Präventi- 
ons-und Kontrollmaßnahmen wie auch bei der Auswahl und dem Aufbau von Sicherungsein- 
richtungen von seinem unternehmerischen Ermessen pflichtgemäß Gebrauch gemacht hat. 
Insoweit besteht auch eine enge Beziehung zur Kontrolle des Systems zur Erfassung be- 
standsgefährdender Risiken im Sinne von § 91 Abs. 2 AktG. 20 

Die Überwachung dieser wichtigen Vorstandsverantwortung durch den Aufsichtsrat soll nach 
der jüngsten Ergänzung in Ziff. 5.3.2 Satz 1 Deutscher Corporate Govemance Kodex vorran- 
gig vom Prüfungsausschuss (Audit Committee) wahrgenommen werden, dessen Einrichtung 
nach Art. 41 der Prüferrichtlinie für börsennotierte Unternehmen besondere Bedeutung er- 
hält. 21 



4. Die Bandbreite Compliance - relevanter 
Rechtsgebiete 



Die Risikoanalyse der Unternehmensleitung muss auf die konkrete Untemehmenssituation 
ausgerichtet werden. Dies gilt insbesondere für die von einem Unternehmen zu beachtenden 
Rechtsregeln, die naturgemäß von vielen Faktoren bestimmt werden, vor allem von seiner 
Rechtsform, Organisation, Größe und Komplexität wie auch dem speziellen Wirtschafszweig, 
in dem es tätig ist. Typischerweise handelt es sich bei den relevanten Compliance -Bereichen 
um ein ganzes Bündel von Rechtsgebieten, für deren Beachtung die Geschäftsleitung Ver- 
antwortung trägt. 



20 E. Vetter, DB 2007, 1963, 1966. 

21 Richtline 2006/43/EG des Europäischen Parlaments und des Rates vom 17.5.2006 über Abschlussprüfun- 
gen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Änderung der Richtlinie 78/660/EWG und 
83/349/EWG des Rates und zur Aufhebung der Richtlinie 84/253/EWG des Rates. Siehe auch den Refe- 
rentenentwurf des Bilanzrechtsmodemisierungsgesetzes (BilMoG) und dazu: Ernst/Seidler, BB 2007, 
2557, 2564. 
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5. Fünf Elemente der Compliance 



Compliance versteht sich als aktive Risikovorbeugung im Unternehmen. Neben vielen ein- 
zelnen organisatorischen Maßnahmen, die ein effizientes Compliance-Management voraus- 
setzt, verlangt sie eine Compliance-Kultur, die im Unternehmen breit verankert ist und von 
Geschäftsleitung und Belegschaft auch tatsächlich gelebt wird. Für die Einrichtung einer 
Compliance -Organisation bedarf es bestimmter organisatorischer Maßnahmen im Rahmen 
einer strukturierten Vorgehensweise, die sich in fünf Schritten wie folgt gliedern lässt. 



-2 Abb. in Anlehnung an Hauschka : Präsentation Compliance in der Untemehmenspraxis, LBBW-Forum 
Stuttgart vom 28. Juni 2007. 

23 Anders z. B. Hauschka, in: Hauschka (Hrsg.), Corporate Compliance, 2007, § 1 Rn. 33, der ein dreistufi- 
ges Modell beschreibt; siehe auch Hauschka, DB 2006, 1143. 
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5.1 Risikoanalyse 



Erster Schritt der Absicherung gegen Rechtsrisiken ist die Identifikation der im jeweiligen 
Unternehmen vorhandenen Rechtsrisiken, die Abschätzung des Schadensumfangs bei Eintritt 
des einzelnen Risikos nach sachlicher und monetärer Größe sowie die Abschätzung der je- 
weiligen Eintrittswahrscheinlichkeit eines Rechtsverstoßes und der daraus abzuleitenden 
Schritte zur Risikovorbeugung. 

Als konkretes Beispiel der Risikoanalyse soll das Korruptionsproblem dienen . 25 Zur Erken- 
nung von Korruptionsrisiken im Unternehmen kann z. B. der Katalog herangezogen werden, 
der bei steuerlichen Betriebsprüfungen der Oberfinanzdirektion Düsseldorf zur Anwendung 
kommt .“ 6 Er ist nicht nur geeignet, im Unternehmen daraus eigene Präventionsmaßnahmen 
im Bereich der Korruptionsbekämpfung zu entwickeln, sondern kann auch als generelles 
Muster für einen untemehmensspeziflschen Prüfkatalog in anderen Compliance -relevanten 
Bereichen dienen. 



24 Abb. von Hauschka : Präsentation Compliance in der Untemehmenspraxis, LBBW-Forum Stuttgart vom 
28. Juni 2007. 

25 Vgl. dazu z. B. Hauschka/Greve, BB 2007, 165. 

26 Leitfaden der Oberfinanzdirektion Düsseldorf. Die Behandlung von Vorteilszuwendungen im Sinne des 
§ 4 Abs. 5 S. 1 Nr. 10 EStG, 2002. 
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Der Katalog der Oberfinanzdirektion Düsseldorf fuhrt die folgenden Gesichtspunkte auf: 

■ Verbuchung ohne Empfangerbenennung oder nicht existierender Empfänger; 

■ keine schriftliche Vereinbarung mit dem Empfänger; 

■ Bankkonto des Geldempfängers ist Nummemkonto; 

■ Konten an Off-Shore -Plätzen 

(z. B. Bahamas, Bermuda, Cayman Islands Libanon, Liechtenstein, Schweiz); 

■ Zahlungen an Vermittler, Makler, Provisionen, Erfolgshonorare; 

■ Geldempfänger ist eine „Briefkastenfinna“; 

■ Barzahlungsvorgänge; 

■ Speisung „schwarzer Kassen“; 

■ fingierte Leistungsinhalte und Überfakturierungen. 

5.2 Commitment 



Die Erfahrungen der Untemehmenspraxis aber auch die in der Öffentlichkeit bekannt gewor- 
denen Fälle von groben Missständen fuhren zu der Erkenntnis, dass die Compliance- 
Organisation steht und fällt mit dem Bekenntnis der Untemehmensspitze zur Compliance im 
Unternehmen. Compliance darf kein Formalakt und keine bloße Pflichtübung sein. Die Un- 
ternehmensleitung muss sich vielmehr uneingeschränkt der Sache verpflichtet fühlen und 
Compliance als Chefsache behandeln. Sie muss das Thema Compliance proaktiv angehen 
und klare Botschaften an die Mitarbeiter senden und deutlich machen, dass Rechtsverstöße 
im Unternehmen von der Geschäftsleitung nicht geduldet werden und bei Verstößen entspre- 
chende Sanktionen ergriffen werden . 27 Dies schließt zwingend das unmissverständliche Sig- 
nal der Geschäftsleitung an die Belegschaft ein, dass ein Geschäftsabschluss unter Missach- 
tung der im Unternehmen geltenden Compliance -Grundsätze keinesfalls dem Unternehmens- 
interesse dient, sondern Geschäfte, die unter Verstoß gegen Rechtsvorschriften zustande 
kommen, dem Unternehmen schaden. 



27 Vgl. zur sog. Zero Tolerance Policy Uwe H. Schneider, ZIP 2003, 645, 649 einerseits und Hauschka, ZIP 
2004, 877, 882 andererseits. 
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5.3 Kommunikation 



Das Commitment der Geschäftsleitung und die Botschaft, dass sich das Unternehmen an die 
maßgeblichen Rechtsvorschriften wie auch an die internen Vorschriften und Regularien hal- 
ten will und dazu entsprechende Maßnahmen zur Prävention und Kontrolle getroffen hat, 
muss in geeigneter Weise sowohl im Unternehmen aber auch an Geschäftspartner kommuni- 
ziert werden. Hierfür bieten sich aus praktischer Sicht verschiedene Instrumente an: 

■ Mission Statement“ der Geschäftsleitung 

■ Internet-Homepage des Unternehmens 

■ Intranet-Seiten zu Compliance-Themen, E-Mails der Geschäftsleitung an die Mitarbeiter 

■ Informationsbroschüren, Richtlinien 

■ Schulungen und Veranstaltungen mit externen Trainern und Beratern 

■ Präsentationen des Korruptions-, Umwelt-, etc.-, Beauftragten 

■ Tagungen der Vertriebs- oder Niederlassungsleiter zu Compliance-Themen 

■ Informationstennine bei Umwelt-, Sicherheitsbeauftragten etc. 

■ Besprechung der internen Dokumentation für den „Schadensfall“ 

■ „e-Schulungen“ im Kartellrecht, Datenschutz, Arbeitsrecht (AGG), in der Korruptionsbe- 
kämpfung etc .’ 8 

Kommunikation setzt schließlich auch voraus, dass die im Unternehmen bestehenden Rechts- 
risken in den jeweiligen Hierarchieebenen kommuniziert werden, damit von den entspre- 
chenden Stellen im Unternehmen auch die zur Risikobeherrschung notwendigen Maßnahmen 
ergriffen werden können . 29 



5.4 Organisation 



Compliance setzt eine klare Organisationsstruktur im Unternehmen voraus. Sie erfasst zuerst 
das Geschäftsleitungsorgan, für das kraft Gesetzes das Prinzip der Gesamtzuständigkeit und 
Gesamtverantwortung gilt. Die moderne Untemehmenspraxis erzwingt hier bei einem mehr- 



28 Vgl. z. B. www.interactive-dialogues.com. 

29 Siehe dazu z. B. LG München I v. 5. 4. 2007 - 5HK 0 15964/06, AG 2007, 417 zum Risikofrüherken- 
nungssystem. 
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köpfigen Geschäftleitungsorgan regelmäßig Modifikationen, um den vielfältigen Anforde- 
rungen und der Komplexität der Leitungsaufgabe angemessen Rechnung zu tragen. Richtiger 
Ort für solche Regelungen ist die Geschäftsordnung, in der auch die Ressortzuständigkeiten 
der einzelnen Mitglieder der Geschäftsleitung sowie die dem Gesamtorgan vorbehaltenen 
Angelegenheiten und die dabei notwendigen Beschlussmehrheiten geregelt werden sollten. 
Fehlen entsprechende Regelungen zur Beschlussfassung, gilt kraft Gesetzes das Prinzip der 
Einstimmigkeit 30 und der Gesamtgeschäftsführung, was in der modernen Untemehmenspra- 
xis kaum mit einer praktikablen und effizienten Wahrnehmung der Leitungsaufgabe vereinbar 
ist. In einem mehrköpfigen Geschäftleitungsorgan wird man derartige Regelungen deshalb zu 
den Voraussetzungen einer guten Corporate Govemance zu zählen haben. Dies bestätigt auch 
Ziff. 4. 2.1 Satz 2 Deutscher Corporate Govemance Kodex in der am 20. Juli 2007 bekannt 
gemachten Fassung, die ausdrücklich den Erlass entsprechender Regelungen empfiehlt. 31 

Die Geschäftsverteilung in der Geschäftleitung durch Einrichtung spezieller Ressorts führt 
zwangsläufig zu einer gespaltenen Pflichtenstellung des einzelnen Geschäftleitungsmit- 
glieds. 32 Im eigenen Ressort übernimmt das Mitglied eine leitende und verwaltende Tätigkeit. 
Hinsichtlich der Ressorts der anderen Mitglieder hat es eine beaufsichtigende Funktion. Von 
der Ressortbildung und Einzelgeschäftsführung unberührt bleiben die Aufgaben, die dem 
Geschäftleitungsorgan kraft Gesetzes zwingend als Gesamtaufgabe zugewiesen sind und die 
als originäre Führungsfunktionen zu qualifizieren sind. 33 Hierzu zählt auch die Verantwortung 
für die Einrichtung einer dem Risikoprofil des Unternehmens angemessenen Corporate 
Compliance -Organisation als Präventionsmaßnahme. 34 Dies schließt z. B. die Einsetzung 
eines Compliance -Beauftragten im Unternehmen 35 oder die Einrichtung einer Compliance- 
Abteilung ein. 

Neben der horizontalen Aufteilung von Aufgaben und Verantwortung innerhalb des Geschäft- 
leitungsorgans durch die Begründung von Ressortzuständigkeiten besteht die Möglichkeit der 
vertikalen Delegation auf nachgeordnete Hierarchieebenen, soweit nicht originäre Führungs- 
funktionen verlagert werden sollen oder gesetzliche Schranken einer Delegation entgegenste- 
hen. Im weiteren Sinne der Delegation ist darunter auch das Outsourcing auf externe Dritte 
zu verstehen. 



30 Kort, in: Großkommentar AktG, 4. Aufl. 2006, § 77 Rn. 6 und 10; Wiesner, in: Hoffmann-Becking (Hrsg.), 
Münchener Handbuch Gesellschaftsrecht AG, 3. Aufl. 2007, § 22 Rn. 6; Zöllner/Noack, in: Baum- 
bach/Hueck, GmbHG, 18. Aufl. 2006, § 37 Rn. 24. 

31 Siehe dazu E. Vetter, DB 2007, 1963, 1964. 

32 Fleischer, NZG 2003, 449, 452; Hefermehl/Spindler, in: MüKo/AktG, 2. Aufl. 2004, § 77 Rn. 28; Zöll- 
ner/Noack, in: Baumbach/Hueck, GmbHG, 18. Aufl. 2006, § 37 Rn. 27; E. Vetter, in: Krieger/Uwe H. 
Schneider (Hrsg.l, Handbuch Managerhaftung, 2007, § 17 Rn. 19. 

33 Hoffmann-Becking, ZGR 1998, 497, 508; Hüffer, AktG 7. Aufl. 2005 § 76 Rn. 8; Zöllner/Noack, in: 
Baumbach/Hueck, GmbHG, 18. Aufl. 2006, § 35 Rn. 33.; siehe auch OLG Düsseldorf v. 15. 11. 1984 - 8 
U 22/84, ZIP 1984, 1476, 1478. 

34 Vgl. dazu z. B. Hauschka , NJW 20004, 257, 259; Hefermehl/Spindler. in: MüKo/AktG, 2. Aufl. 2004, § 76 
Rn. 17; Rodewald/Unger, BB 2006, 113; Uwe H. Schneider, ZIP 2003, 645, 647. 

35 Vgl. z. B. Biirkle, in: Hauschka (Hrsg.), Corporate Compliance, 2007, § 2 Rn. 11 ff. 
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Aus formaler Sicht gilt sowohl für die Organisation innerhalb des Geschäftsleitungsorgans 
wie auch für die Delegation auf nachgeordnete Untemehmensebenen, dass die jeweiligen 
Zuständigkeiten unmissverständlich festgelegt und die Funktionen und Maßnahmen klar und 
eindeutig definiert sein müssen. Dabei ist sicherzustellen, dass die verschiedenen Verantwor- 
tungsbereiche überschneidungsfrei sind. Es versteht sich von selbst, dass die Organisations- 
und Delegationsentscheidungen ebenso wie die Berichtswege und Kompetenzen schriftlich 
niedergelegt werden müssen, damit die Entscheidungen im Unternehmen kommuniziert und 
jederzeit nachvollziehbar und nachprüfbar sind. 36 

In inhaltlicher Hinsicht muss bei der Organisation und Delegation von Aufgaben und Verant- 
wortlichkeiten beachtet werden, dass die Personalauswahl sorgfältig erfolgt, eine gründliche 
Einweisung der Person in die neue Aufgabe stattfindet und auch eine regelmäßige Überwa- 
chung der ordnungsgemäßen Wahrnehmung der übernommenen Aufgabe erfolgt. 37 

Die Organisation erstreckt sich auch auf systematische und verfahrensmäßige Vorkehrungen 
im Unternehmen zur Einrichtung einer Informations- und Kommunikationsorganisation, die 
gewährleisten sollen, dass die unternehmerischen Entscheidungen der Geschäftsleitung den 
Kriterien der Verfahrenskontrolle im Sinne von § 93 Abs. 1 Satz 2 AktG genügen und bei der 
Anwendung des unternehmerischen Ermessens 38 die Infonnationen der Geschäftsleitung als 
Entscheidungsgrundlage auch zur Verfügung stehen. 39 



5.5 Dokumentation 



Es versteht sich fast von selbst, dass ein Unternehmen nur dann als ordentlich geführt be- 
zeichnet werden kann und über eine effiziente Compliance verfugt, wenn diese Tatsache auch 
belegt werden kann. Damit ist der letzte Baustein der Compliance angesprochen, nämlich die 
Dokumentation der Entscheidungen, Prozesse, Maßnahmen und Berichtswege. 



36 Siehe dazu z. B. LG München I v. 5. 4. 2007 - 5HK O 15964/06, AG 2007, 417 zum Risikofrüherken- 
nungssystem. 

37 Vgl. z. B. Schmidt-Husson, in: Hauschka (Hrsg.), Corporate Compliance, 2007, § 7 Rn. 21 ff.; Rn. 33; E. 
Vetter, in: Krieger/Uwe H. Schneider (Hrsg.), Handbuch Managerhaftung, 2007, § 17 Rn. 63 und 68. 

33 Vgl. dazu auch die Regeln des Arbeitskreises“ Externe und interne Überwachung der Unternehmung“ der 
Schmalenbach Gesellschaft für Betreibswirtschaft e. V., ZIP 2006, 1068. 

39 Vgl. dazu z. B. Buck-Heeb, in: Hauschka (Hrsg.), Corporate Compliance, 2007, § 2 Rn. 15 ff.; siehe auch 
Kinzl, DB 2004, 1653, 1654. 
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Die Geschäftsordnung des Vorstands bzw. der Geschäftsführung bedarf der Schriftform . 40 
Dabei ist darauf zu achten, dass die Geschäftsordnung von dem nach Gesetz oder Satzung 
festgelegten Gremium erlassen wird. Auch die Ressortverteilung bedarf der Schriftform. Wie 
die Untemehmenspraxis zeigt, ist dies nicht immer der Fall. Vielfach ist festzustellen, dass 
entweder eine Aufgabenverteilung in schriftlicher Form nicht vorhanden ist oder aber die im 
Unternehmen geltende Ressortverteilung längst nicht mehr den tatsächlichen Gegebenheiten 
entspricht und die für die Festlegung der Ressorts zuständigen Organe und Gremien hierüber 
nicht informiert sind. 

Die Beratungen und Entscheidungen des Geschäftsleitungsorgans finden im Regelfall in 
entsprechenden Sitzungen statt und müssen in ausreichender Form protokolliert werden. 
Gleiches gilt für Entscheidungen, die auf telefonischem Wege gefasst worden sind. Schulun- 
gen von Mitarbeitern müssen ebenso schriftlich festgehalten werden, wie Kontrollroutinen, 
Prüfungen und Tests. 

Nur wenn die im Unternehmen durchgeführten Compliance -Maßnahmen ausreichend doku- 
mentiert sind und entsprechende Nachweise z. B. im Fall eines Regelverstoßes oder eines 
Unfalls einer im Übrigen ernsthaft betriebenen und sonst funktionierenden Compliance vor- 
gelegt werden können, besteht die berechtigte Floffnung, dass Schadensersatzansprüche Drit- 
ter gegen das Unternehmen oder die Mitglieder der Geschäftsleitung sowie sonstige Sanktio- 
nen gegen Unternehmen, die Mitglieder der Geschäftsleitung oder andere handelnde Perso- 
nen erfolgreich abgewendet oder abgemildert werden können. 



40 BFH V. 26. 4. 1984 - V R 128/79, BFHE 141, 433, 447; OLG Koblenz v. 9. 6. 1998 - 3 U 1662/89, 953, 
954; Dreher, ZGR 1992, 22, 59; Hüffer, AktG, 7. Aufl. 2006, § 77 Rn. 21; E. Vetter, in: Krieger/Uwe H. 
Schneider (Hrsg.), Handbuch Managerhaftung, 2007, § 17 Rn. 31 und 32. 
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Zusammenfassung 

Aufgrund der unterschiedlichen Anforderungen, die an Unternehmen vom Gesetzgeber ge- 
stellt werden, kann es keinen allgemeingültigen Compliance Begriff geben. Vielmehr variie- 
ren die Anforderungen individuell bei jedem Unternehmen. Entsprechend kann man in der 
täglichen Beratungspraxis feststellen, wie unterschiedlich das Thema Compliance angegan- 
gen wird. Während Banken und Versicherungen aufgrund der hohen Regulierungsdichte in 
diesem Geschäftsbereich längst eine diversifizierte Compliance Struktur - meist mit Compli- 
ance Offlcer - eingeführt haben und das Thema untemehmensintem einen hohen Stellenwert 
hat, kennt man den Begriff Compliance in kleinen und mittelständischen Unternehmen teil- 
weise nur vom Hörensagen. Das soll natürlich nicht bedeuten, dass sich solche Unternehmen 
nicht bemühen die für sie geltenden Vorschriften einzuhalten. 

In vielen Unternehmen wird mittlerweile versucht das Thema „Aufbau einer Compliance 
Organisation“ strukturiert anzugehen. Für die Umsetzung bieten sich vielgestaltige IT- 
Programme an. Über solche Programme können u. a. Schulungen (eLeaming), z. B. hinsicht- 
lich des Inhalts von Handbüchern, gezielt für spezielle Mitarbeitergruppen durchgeführt 
werden. Heutige IT-Programme bieten jedoch darüber hinaus vielschichtige Möglichkeiten 
die Compliance-Struktur in einem Unternehmen zu verbessern. Über Beteiligungsmanage- 
ment- und Vertragsverwaltungssysteme können Datenbanken aufgebaut werden, die über das 
Internet weltweit von Führungskräften des Unternehmens genutzt werden können. Die bei 
richtiger Anwendung hierdurch entstehende Datengenauigkeit ist sicherlich ein wichtiger 
Baustein in einer Compliance-Struktur eines weltweit vernetzten Konzerns. Jedoch nicht nur 
große - weltweit operierende - Unternehmen profitieren von einer guten Compliance- 
Struktur. Auch auf kleine und mittelständische Unternehmen sind viele Bausteine einer sol- 
chen Compliance-Struktur übertragbar. 

Aber auch die beste IT-Infra Struktur, Schulungen und Handbücher sowie die Schaffung einer 
Personalstruktur mit genau definierten Überwachungspflichten nutzen nur dann wirklich, 
wenn die Mitarbeiter für das Thema Compliance gewonnen werden können und dieses The- 
ma nicht als Behinderung ihrer täglichen Arbeit betrachten. 
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Nachfolgend sollen zunächst einige Begrifflichkeiten geklärt werden, bevor die These über- 
prüft wird, ob eine Pflicht der Geschäftsleitung zur Errichtung einer Compliance Organisati- 
on besteht und auf verschiedene Möglichkeiten zur Errichtung einer Compliance-Struktur 
eingegangen wird. Hierbei wird auch thematisiert, inwieweit sich aus dem Gesetz bzw. aus 
der Rechtsprechung die Pflicht zur Einrichtung einer internen Revision als Teil einer Compli- 
ance -Organisation bzw. die Pflicht zur effizienten Infonnationsorganisation ergibt. 



1 . Corporate Compliance - 

Begriffsdefinition und -abgrenzung 



Der Begriff Compliance ist ein Oberbegriff, und bedeutet 

■ Einhaltung sämtlicher für das jeweilige Unternehmen relevanten gesetzlichen Pflichten, 
Vorschriften, Regeln, 

■ fachliche Kompetenz und persönliche Verantwortung im Umgang mit externen Regeln, 
internen Regeln und Vorgaben der Gesellschafter und Vertragspartner sowie 

■ Einhaltung von Vorgaben der Zentrale durch Konzemeinheiten. 

Seit der letzten Überarbeitung des Deutschen Corporate Govemance Kodex (DCGK) vom 
14. Juni 2007 wird der Begriff Compliance in Ziffer 4.1.3 DCGK zudem wie folgt legal defi- 
niert: 



,,Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der 
unternehmensinternen Richtlinien za sorgen und wirkt auf deren Beachtung 
durch die Konzernunternehmen hin (Compliance). “ 

Der Begriff ist zur Klarstellung zunächst abzugrenzen von weiteren Begriffen, die häufig mit 

dem Begriff Corporate Compliance verwechselt werden. 

■ Der Begriff Corporate Governance umfasst beispielsweise als weiterer Begriff alle ge- 
setzlichen Regeln und anerkannten Standards sorgfältiger Untemehmensführung. 

■ Bei Risk Management Systemen i.S.d. § 91 Abs. 2 AktG handelt es sich um die Einrich- 
tung von Früherkennungs- und Überwachungssystemen für bestandsgefährdende Entwick- 
lungen der Gesellschaft. 

■ Der Begriff Code of Conduct beinhaltet als Teil eines Compliance-Systems, Handlungs- 
und Verhaltensanweisungen an die Mitarbeiter. 
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■ Desweiteren gibt es über die gesetzlichen Pflichten hinaus noch soziale und ethische 
Pflichten der Geschäftsführung, die unter dem Begriff Corporate Social Responsibility/ 
Business Ethics zusammengefasst werden. Während das Gesetz das ethische Minimum 
darstellt, geht die von der Gesellschaft geprägte Moral häufig darüber hinaus. Maßnahmen 
im Bereich Corporate Social Responsibility/Business Ethics werden gerne als Werbemaß- 
nahmen von Unternehmen eingesetzt. 



1.1 Corporate Govemance 



Die von der Bundesministerin für Justiz im September 2001 eingesetzte „Regierungs- 
kommission Deutscher Corporate Govemance Kodex“ verabschiedete am 26. Februar 2002 
den Deutschen Corporate Govemance Kodex, der die gesetzlichen Regeln und anerkannten 
Standards sorgfältiger Untemehmensführung zusammenfassen soll. Der Kodex besitzt über 
die Entsprechenserklärung gemäß § 161 AktG (eingefügt durch das Transparenz- und Publizi- 
tätsgesetz, in Kraft getreten am 26.07.2002) eine gesetzliche Flankierung. Vorstand und Auf- 
sichtsrat von börsennotierten Gesellschaften erklären danach jährlich, dass den vom Bundes- 
ministerium der Justiz im amtlichen Teil des elektronischen Bundesanzeigers bekannt ge- 
machten Empfehlungen der „Regierungskommission Deutscher Corporate Govemance 
Kodex“ entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden 
oder werden. 

Mit dem Deutschen Corporate Govemance Kodex sollen die in Deutschland geltenden Re- 
geln für Unternehmensleitung und -Überwachung für nationale wie internationale Investoren 
transparent gemacht werden, um so das Vertrauen in die Untemehmensführung deutscher 
Gesellschaften zu stärken. Der Kodex adressiert alle wesentlichen - vor allem internationalen 
- Kritikpunkte an der deutschen Untemehmensverfassung, nämlich 

■ mangelhafte Ausrichtung auf Aktionärsinteressen; 

■ die duale Untemehmensverfassung mit Vorstand und Aufsichtsrat; 

■ mangelnde Transparenz deutscher Unternehmensführung; 

■ mangelnde Unabhängigkeit deutscher Aufsichtsräte; 

■ eingeschränkte Unabhängigkeit der Abschlußprüfer. 

Seitdem der Deutsche Corporate Govemance Kodex erstmalig in Kraft getreten ist, wurde 
zudem eine Reihe von Änderungen beschlossen, letztmalig mit Datum vom 14. Juni 2007 

Von Gesellschaften mit beschränkter Haftung wird in Zukunft zunehmend - sei es von Kapi- 
talgebem oder den Gerichten - verlangt werden, dass sie sich ebenfalls an die Empfehlungen 
des Deutschen Corporate Govemance Kodex halten. Es ist davon auszugehen, dass Gerichte 
hinsichtlich der Beurteilung sorgfältiger Untemehmensführung - wenigstens mittelbar - 
zunehmend Wertungen des Deutschen Corporate Govemance Kodex heranziehen werden 
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1 .2 Code of Conduct/Code of Ethics 



Ein sogenannter Code of Conduct bzw. ein Code of Ethics sollte integraler Bestandteil eines 
Compliance-Systems sein. Darunter versteht man auf der einen Seite Handlungs- und Verhal- 
tensanweisungen an die Mitarbeiter, um so den Umgang der Mitarbeiter untereinander und 
gegenüber Dritten zu regeln. Zwar gibt es für die Einführung derartiger Richtlinien keine 
rechtliche Verpflichtung, die Entwicklungen im Ausland, insbesondere in den USA, die ent- 
sprechende Richtlinien schon lange kennen und teilweise rechtlich einfordem, haben aber 
auch hier das Bewusstsein für die Notwendigkeit eines Verhaltenskodex geschärft. Hinzu tritt 
die Erkenntnis der Unternehmen, dass im „Kampf 4 um die Anwerbung hochqualifizierten 
Personals, die Bewerber gerade auch den Umgang des Unternehmens mit seinen Mitarbeitern 
zu einem maßgeblichen Entscheidungskriterium bei der Wahl Ihrer künftigen Arbeitsstätte 
erhoben haben. 

Aus rechtlicher Sicht wird man sich davor hüten müssen, Ethikrichtlinien aus dem angloame- 
rikanischen Rechtsraum eins-zu-eins auf inländische Unternehmen zu übertragen. Dem steht 
dass deutsche Arbeitsrecht in zweifacher Hinsicht - nämlich auf individualvertraglicher Ebe- 
ne und auf kollektivrechtlicher Ebene - entgegen. Eine Vielzahl von Regelungen eines Code 
of Ethics werden den Bestimmungen des § 87 Abs. 1 Nr. 1 BetrVG unterfallen, wonach der 
Betriebsrat in Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im 
Betrieb mitzubestimmen hat. 1 Auf individualvertraglicher Ebene stellt sich daneben die Fra- 
ge, ob die einzuführenden Regelungen noch vom Direktionsrecht des Arbeitgebers gedeckt 
sind, oder aber es einer einvemehmlichen Vereinbarung bedarf. 2 Vorgelagert dürfte sich im- 
mer die Frage stellen, ob die Regelung im Hinblick auf einen Eingriff in die Privatautonomie 
überhaupt zulässig ist - wie dies bspw. bei dem Verbot privater Liebesbeziehungen von Ar- 
beitskollegen („Wal Mart“) der Fall ist. 3 



1.3 Corporate Social Responsibility/Business Ethics 



Corporate Social Responsibility (CSR) - also soziale Verantwortung des Unternehmens - 
richtet über die Vorgaben die das Gesetz als ethisches Minimum an die Unternehmen richtet, 
das Augenmerk auf den Standort und die Verantwortung des Unternehmens im gesellschaftli- 
chen Umfeld. Die Unternehmen werden sich zunehmend auch bewusst, dass sie gesellschaft- 
liche Verantwortung zu übernehmen haben, wobei insbesondere ökologische und soziale 
Aspekte in den Mittelpunkt gerückt werden. 



1 Vgl. nur LAG Düsseldorf v. 14.11.2005 - 10 TaBV 46/05, NZA-RR2006, 81 ff. 

2 Vgl. zu diesen Problemen ausführlich S. 197 ff. und Schreiner, Compliance Report, Februar 2007, 5 f. 

3 LAG Düsseldorf v. 14. 1 1.2005 - 10 TaBV 46/05, NZA-RR 2006, 81 ff. 
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In den letzten beiden Jahren haben die Unternehmen daher auf diesem Gebiet ihre Aktivitäten 
enorm verstärkt, indem Sie Mitarbeiter entsprechend geschult oder ganze CSR Abteilungen 
eingerichtet haben. Auf der anderen Seite wurde das Thema auch von Non-Profit Organisati- 
onen aufgegriffen und vorangetrieben, Medienhäuser haben Rankings initiiert. 4 

Dabei ist die Erkenntnis gereift, dass entsprechendes Engagement nicht nur Selbstzweck ist, 
sondern durchaus einen positiven Effekt auf die Geschäftsentwicklung haben kann. Teilweise 
wird dieses Engagement als direktes Marketing Tool eingesetzt. Man denke nur an die BP 
Fernsehwerbung zum Thema Umweltschutz, oder aber die Verknüpfung des Kaufs von 
Krombacher Bier mit der Rettung des Regenwaldes, die der BGH in seinen Entscheidungen 
vom 26. Oktober 2006 als grundsätzlich zulässig eingestuft hat. 5 



1 .4 Risk Management Systeme 



Anknüpfungspunkt für die Pflicht der Einrichtung eines Früherkennungs- und Überwa- 
chungssystems für bestandsgefährdende Entwicklungen der Gesellschaft ist § 91 Abs. 2 
AktG. 

Die auf das KonTraG von 1998 zurückgehende Norm 6 formuliert damit eine Bestandssiche- 
rungspflicht des Vorstandes und konkretisiert insoweit einen Teilaspekt der allgemeinen 
Leitungsaufgabe des Vorstands. 7 Ohne dass die Vorschrift die Verpflichtung zur Einführung 
eines allgemeinen „risk management“ begründet, wie es Teile der Betriebswirtschaftslehre 
und der Prüfungspraxis verstehen, 8 hat der Vorstand gleichwohl Maßnahmen zu treffen, die es 
ihm ermöglichen, die umschriebenen Entwicklungen 9 frühzeitig zu erkennen (vgl. dazu 
sogleich unter 2.8). 



4 Vgl. zu dieser Entwicklung: Unger, Compliance Report, Februar 2007, 2, 4. 

5 BGH v. 26.10.2006 - I ZR 33/04 [Regenwaldprojekt I], NJW 2007, 919 ff.; BGH v. 26.10.2006 - I ZR 
97/04 [Regenwaldprojekt II], MDR 2007, 598. 

6 Art. 1 Nr. 9 KonTraG v. 27. April 1998 (BGBl. I, 786). 

7 Vgl. RegBegr. BT-Drucks. 13/9712 Seite 15 HSp. 

8 Vgl. Hiiffer, AktG, 7. Aufl. 2006, § 9 1 Rn. 1 , 9. 

9 Beispielhaft nennt die Regierungsbegründung die Aufnahme risikobehafteter Geschäfte, Verstöße gegen 
Vorschriften der Rechnungslegung oder gegen sonstige gesetzliche Vorschriften, vgl. RegBegr. BT-Drucks. 
13/9712 Seite 15 liSp. 
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2. Aufbau einer Compliance-Organisation als Pflicht 
der Geschäftsleitung? 



Während teilweise Möglichkeiten zur Verbesserung der Compliance-Organisation freiwillig 
sind, gibt es für viele Bereiche eine rechtliche Pflicht zum Aufbau einer Compliance Organi- 
sation. 



2.1 Pflichten der Geschäftsleitung 



Die rechtliche Pflicht zum Aufbau einer Compliance Organisation folgt bereits aus dem Um- 
stand, dass die vertretungsbefugten Organe von AG und GmbH gegenüber der Gesellschaft 
eine Vielzahl von Pflichten zu beachten haben. Die Verletzung dieser Pflichten kann sowohl 
zur persönlichen Haftung der Geschäftsleitung gegenüber der Gesellschaft sowie gegenüber 
Dritten wie auch zu einer Reihe weiterer Rechtsfolgen führen. Diese weiteren Rechtsfolgen 
können insbesondere strafrechtlicher Natur sein, Sanktionen des Ordnungswidrigkeitenrechts 
beinhalten, aber auch zu aufsichtsrechtlichen, steuerrechtlichen und gesellschaftsrechtlichen 
Konsequenzen führen. 

Es kommen z. B. Vorwürfe der Untreue bei leichtfertiger Kreditvergabe in Betracht. 10 Des 
Weiteren steigt die Zahl der Tatbestände, die mit Bußgeld bedroht sind, weiter an. Bei den 
Geschäftsleitem eines Kreditinstituts oder eines Versicherungsuntemehmens besteht zudem 
die Möglichkeit der Abberufung durch die Bundesanstalt für Finanzdienstleistungsaufsicht 
(vgl. § 36 KWG). 

Geschäftsleiter müssen bei der Verletzung von Pflichten grundsätzlich auch mit der fristlosen 
Kündigung des Anstellungsvertrages und den sich daran anschließenden finanziellen Einbu- 
ßen rechnen. 

Im Folgenden sollen nunmehr exemplarisch einige wichtige Pflichtenbereiche der Geschäfts- 
leitungsorgane aufgezeigt werden. 



10 Schmitt, BKR 2006, 125 ff. 
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2.2 Allgemeine Sorgfalts- und Treuepflicht 



Zunächst hat die Geschäftsleitung - ebenso wie die Gesellschafter - gegenüber der Gesell- 
schaft und den Gesellschaftern allgemeine Sorgfalts- und Treuepflichten einzuhalten. 11 Die 
einzelnen Sorgfalts- und Treuepflichten sind überwiegend nicht kodifiziert, sondern sie leiten 
sich aus der Organstellung der Geschäftsleitung innerhalb der Gesellschaft ab. Dabei hat die 
Geschäftsleitung die Sorgfalt eines ordentlichen Geschäftsmannes an den Tag zu legen, vgl. 
§§ 93 Abs. 1 S. 1 AktQ 43 Abs. 1 GmbHG. Dazu zählt unter anderem die Pflicht zur ord- 
nungsgemäßen Unternehmensleitung unter Einhaltung der durch Gesetz, Satzung und Anstel- 
lungsvertrag festgelegten Grenzen. 

In diesem Zusammenhang ist die Geschäftsleitung insbesondere an die durch Satzung und 
Anstellungsvertrag vorgegebene Kompetenzordnung der Gesellschaft gebunden. Die Ge- 
schäftsleitung hat sämtliche Geschäfte der Gesellschaft im Interesse und zum Wohle der 
Gesellschaft wahrzunehmen und alles zu unterlassen, was die Gesellschaft schädigen könnte. 
Die Geschäftsleitung hat stets den wirtschaftlichen Vorteil der Gesellschaft zu verfolgen und 
ist grundsätzlich nicht berechtigt in Wettbewerb zur Gesellschaft zu treten und der Gesell- 
schaft Geschäftschancen zum eigenen Wohle zu entziehen. 12 Bei Verletzung dieser Pflicht 
steht der Gesellschaft nicht bloß ein Unterlassungsanspruch gegenüber der Geschäftsleitung 
zu, sondern ihr steht auch ein Schadensersatzanspruch zu. 

Aufgrund der Beachtung des Wohles der Gesellschaft als höchstem Gut, ist es dem Ge- 
schäftsführer einer GmbH auch strafbewehrt untersagt Betriebs- oder Geschäftsgeheimnisse 
der Gesellschaft unbefugt weiterzugeben, vgl. § 85 GmbHG. Die Geheimhaltungspflicht gilt 
dabei auch für den Vorstand einer AG vgl. § 93 Abs. 1 S. 3 AktG. 13 

Ausfluss der Business Judgement Rule ist die Pflicht zur angemessenen Vorbereitung einer 
Geschäftsführerentscheidung durch Einholung der entscheidungsrelevanten Informationen 
und der sich daran anschließenden Abwägung von Risiken bei Treffen einer bestimmten 
Entscheidung. 14 Diese Pflicht kommt selbstverständlich nur bei unternehmerischen - also 
nicht gebundenen - Entscheidungen der Geschäftsleitung in Betracht. Solche unternehmeri- 
schen Entscheidungen beinhalten notwendigerweise eine von der Geschäftsleitung vorzu- 
nehmende Prognose. Sollte z. B. die Geschäftsleitung die Entscheidung treffen, ein anderes 
Unternehmen zu erwerben ohne zuvor ausreichende Informationen über das zu erwerbende 
Unternehmen eingeholt zu haben und bei Unklarheiten eine „Due Diligence“ durchgeführt zu 
haben, so stellt dies eine schadensersatzpflichtbegründende Pflichtverletzung der Geschäfts- 



11 Vgl. nur Baumbach/Hueck, GmbHG, 18. Aufl. 2006, § 35 Rn. 38; Hüffer, AktG, 7. Aufl. 2006, § 93 Rn. 5. 

12 Baumbach/Hueck, Gmbi IG, 18. Aufl. 2006, § 35 Rn. 42. 

13 Vgl. hierzu auch Hüjfer, AktG, 7. Aufl. 2006, § 93 Rn. 6 ff. 

14 Vgl. Heidel, Aktienrecht und Kapitalmarktrecht, 2. Aufl. 2007, § 93 Rn. 98. 
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leitung dar . 15 Ebenso ist die Geschäftsleitung verpflichtet vor der Kreditvergabe an einen 
Dritten zunächst eine Kreditwürdigkeitsprüfung vorzunehmen . 16 



2.3 Überwachungspflichten/Risikokontrollpflichten 



Da die Geschäftsleitung nicht alle Maßnahmen im Unternehmen selbst vorzunehmen braucht, 
was rein faktisch bei Überschreitung einer bestimmten Untemehmensgröße auch gar nicht 
mehr möglich wäre, ist die Geschäftsleitung befugt, einzelne Aufgabengebiete an Dritte (zu- 
meist nachgeordnete Mitarbeiter) zu delegieren. Dabei hat die Geschäftsleitung jedoch ver- 
schiedene Überwachungs- und Risikokontrollpflichten wahrzunehmen. 

Bei der Delegation von Aufgaben hat die Geschäftsleitung insbesondere für die ordnungsge- 
mäße Auswahl der Mitarbeiter, eine den übertragenen Aufgaben entsprechende Einweisung 
und eine ordnungsgemäße Überwachung der entsprechenden Mitarbeiter einzustehen . 17 Die 
Auswahl des Mitarbeiters hat erst nach vorhergehender Prüfung der persönlichen Eignung 
(Zuverlässigkeit, Belastbarkeit) und der fachlichen Befähigung (Ausbildung, Qualifikation, 
Erfahrung) des Mitarbeiters durch die Geschäftsleitung zu erfolgen. Nach Auswahl hat die 
Geschäftsleitung den Delegierten in seinen Verantwortungsbereich einzuweisen und ihm die 
zur Bewältigung der übertragenen Aufgaben notwendigen Kenntnisse und sachlichen Mittel 
zur Verfügung zu stellen. Nachdem der Dritte die ihm übertragene Tätigkeit unter Beachtung 
der vorgenannten Grundsätze aufgenommen hat, ist die Geschäftsleitung noch immer nicht 
aus ihrer Pflicht entlassen. Denn die Geschäftsleitung darf nicht blind auf die pflichtgemäße 
Erfüllung der übertragenen Aufgaben durch den Dritten vertrauen, sondern im Rahmen des 
objektiv Zumutbaren hat die Geschäftsleitung die Tätigkeit des Mitarbeiters ständig zu über- 
wachen . 18 

Dies gilt grundsätzlich auch bei einer Aufteilung von verschiedenen Ressorts innerhalb der 
Geschäftsleitung. Der jeweilige Geschäftsführer oder das Vorstandsmitglied bleibt für die 
Überwachung ressortfremder Geschäftsführer und Vorstandsmitglieder verantwortlich, ob- 
wohl bei ordnungsgemäßer Geschäftsverteilung nur das zuständige Geschäftsleitungsorgan 
die volle Handlungsverantwortung trägt . 19 Sollten Zweifel an der Zuverlässigkeit des Mitge- 
schäftsführers entstehen, so sind die übrigen Geschäftsführer gegebenenfalls verpflichtet, den 
gesamten übertragenen Aufgabenbereich in das Gesamtgremium zurückzuholen. Des Weite- 
ren sind die übrigen Geschäftsführer verpflichtet, etwaigen pflichtwidrigen Entscheidungen 
des Mitgeschäftsführers zu widersprechen. 



15 Vgl. OLG Oldenburg v. 22.6.2006 - 1 U 34/03, GmbHR 2006, 1263 ff. 

16 Vgl. zur strafrechtlichen Verantwortlichkeit BGH v. 15.11.2001 1 StR 185/01, NJW 2002, 1211 ff. 

17 Sehr weitgehend BGH v. 21.1. 1997 - VI ZR 338/95, NJW 1997, 1237 ff. 

18 Schmidt-Husson, in: Hauschka (Hrsg.), Corporate Compliance, 2007, § 7 Rn. 24. 

19 Vgl. Hiiffer, AktG, 7. Aufl. 2006, § 93 Rn. 13a; Lutter/Hommelhoff, GmbHG, 1 6. Aufl. 2004, § 43 Rn. 1 7. 
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Zu den Überwachungs- und Risikokontrollpflichten der Geschäftsleitung zählt auch das nach 
§91 Abs. 2 AktG durch den Vorstand einer AG zu installierende Frühwarnsystem, welches 
später noch näher behandelt und erläutert wird. 



2.4 Buchführungs-/Bilanzierungspflichten 



Nach § 238 HGB ist jeder Kaufmann verpflichtet, Bücher zu führen und in diesen sein Han- 
delsgeschäfte und die Lage seines Vermögens nach den Grundsätzen ordnungsgemäßer Buch- 
führung darzustellen. Als Formkaufmann sind die Kapitalgesellschaften Normadressat der 
Bestimmung des § 238 HGB. Aus § 264 HGB folgt die Verpflichtung der gesetzlichen Vertre- 
ter einer Kapitalgesellschaft, also Vorstand und Geschäftsführung, zur Rechnungslegung. Die 
Rechnungslegung umfasst nach den §§ 238 ff. HGB die Vornahme der Inventur, die Aufstel- 
lung der (Eröffnungs-)Bilanz, die Aufstellung der Gewinn- und Verlustrechnung sowie die 
Anfertigung des Anhangs und des Lageberichts. Zwar ist auch die Rechnungslegungspflicht 
rein faktisch auf Dritte (z. B. externe Berater) übertragbar, allerdings haftet der Vorstand bzw. 
die Geschäftsführung gern. §§ 91 Abs. 1 AktG, 41 Abs. 1 GmbHG für die ordnungsgemäße 
Erfüllung dieser Verpflichtung. 20 

Nach § 325 HGB haben die gesetzlichen Vertreter einer Kapitalgesellschaft auch den Jahres- 
abschluss (größenabhängige Erleichterungen ergeben sich aus den §§ 326 ff. HGB i.V.m. 
§ 267 HGB) beim Betreiber des elektronischen Handelsregisters einzureichen. Die haftungs- 
rechtliche Verantwortlichkeit für die ordnungsgemäße Buchführung kann dabei weder durch 
die Satzung noch durch einen entsprechenden Beschluss der Haupt- oder Gesellschafterver- 
sammlung auf Dritte übertragen werden, so dass sich die Geschäftsführung letztendlich nicht 
der umfangreichen Verantwortung entziehen kann und aus diesem Grund zumindest die be- 
reits oben beschriebenen Überwachungsaufgaben wahrzunehmen hat. 

Bei Verletzung der Rechnungslegungspflichten drohen sowohl steuerrechtliche Konse- 
quenzen (vgl. beispielhaft §§ 162, 370 Abs. 1 AO) als auch ordnungs- und strafrechtliche 
Sanktionen (vgl. §§ 331, 335 HGB, 283 Abs. 1 Nr. 5-7, 283 a, 283 b StGB). 



2.5 Gesellschaftsrechtliche und öffentlich rechtliche 
Pflichten 



Darüber hinaus treffen die gesetzlichen Vertreter von Kapitalgesellschaften auch gesell- 
schaftsrechtliche Pflichten, wie etwa die Verpflichtung zur Anmeldung eintragungsrelevanter 
Tatsachen beim zuständigen Handelsregister (vgl. z. B. §§ 181, 188 AktG 40 GmbHG). Un- 



20 



Vgl. für die AG: Hiijfer , AktG, 7. Aufl. 2006, § 91 Rn. 2. 
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terlässt der Verpflichtete die Vornahme von anmeldepflichtigen Tatsachen, so droht insbeson- 
dere die Zwangsgeldverhängung gegen die Mitglieder der Geschäftsführung, vgl. §§ 407 
Abs. 1 AktG, 79 GmbHG. 

Weiterhin sind die Vertretungsorgane der Kapitalgesellschaften zur Vorbereitung und Einbe- 
rufung von Gesellschafterversammlung und Hauptversammlung verpflichtet (vgl. §§ 121 
Abs. 2 AktG, 49 Abs. 1 GmbHG) sowie zur Durchsetzung der dort getroffenen Beschlüsse. 

Darüber hinaus bestehen sehr weitgehende zusätzliche Verpflichtungen der Geschäftsfüh- 
rung. Dazu zählen insbesondere die Pflicht zur Abführung der Steuern (wozu die gesetzlichen 
Vertreter persönlich verpflichtet sind, vgl. §§ 34, 69 S. 1 AO), die Pflicht zur fristgerechten 
Abführung von Sozialversicherungsbeiträgen und schließlich die Pflicht bei Zahlungsunfä- 
higkeit oder Überschuldung rechtzeitig Insolvenzantrag zu stellen (vgl. §§92 Abs. 2 AktG 64 
Abs. 1 GmbHG). 

Bei Erreichen bestimmter Beteiligungsschwellen an einer börsennotierten Gesellschaft ist die 
Geschäftsführung gegenüber der Bundesanstalt für Finanzdienstleistungen nach dem Gesetz 
über den Wertpapierhandel (WpHG) zur Anzeige verpflichtet, vgl. § 21 Abs. 1 WpHG. 

Zusätzlich ist der Vorstand einer AG zur regelmäßigen Berichterstattung an den Aufsichtsrat 
hinsichtlich der beabsichtigten Geschäftspolitik und der Wirtschaftlichkeit der laufenden 
Geschäfte verpflichtet, vgl. § 90 Abs. 1 AktG. Vorstand und Aufsichtsrat von börsennotierten 
Gesellschaften haben gern. § 161 AktG einmal jährlich eine Entsprechenserklärung ab- 
zugeben, ob und inwieweit den von der Regierungskommission Deutscher Corporate Gover- 
nance Kodex gemachten Empfehlungen entsprochen wurde. Nach § 15 WpHG ist der Vor- 
stand zur Veröffentlichung von Tatsachen verpflichtet, wenn sie wegen ihrer Auswirkungen 
auf die Vermögens- oder Finanzlage oder auf den allgemeinen Geschäftsablauf geeignet sind, 
den Börsenpreis der Aktie zu beeinflussen. Bei Geschäften mit Aktien der Gesellschaft ist der 
Vorstand gegenüber der Gesellschaft und der Bundesanstalt für Finanzdienstleistungen offen- 
legungspflichtig, vgl. § 15 a WpHG. 



2.6 Verpflichtung auf Compliance 



Aus der lediglich exemplarischen Aufzählung der oben beschriebenen Pflichten der Ge- 
schäftsleitung folgt bereits in ihrem Interesse die Notwendigkeit der Einrichtung einer 
Compliance Organisation. Aufgrund der zunehmenden Anzahl von Haftungstatbeständen 
kann sich die Geschäftsleitung letztendlich nur durch Schaffung einer funktionierenden 
Struktur zur Einhaltung der gesetzlichen Verpflichtungen gegenüber der Gesellschaft 
und/oder Dritten absichem. Insbesondere geht es aber bei der Schaffung einer funktionieren- 
den Compliance Organisation darum, den langfristigen Untemehmenserfolg zu sichern. Un- 
ternehmen, die durch eine gut funktionierende Compliance Organisation rechtliche Fehler- 
quellen und Zwischenfalle durch Rechtsverstöße minimieren, werden hiervon generell profi- 
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tieren, (i) durch den verbesserten internen Infonnationsfluss und Kontrollmaßnahmen, (ii) 
durch frühzeitiges Entdecken (auch nicht rechtlicher) Fehler, (iii) durch eine bessere Außen- 
wirkung gegenüber Kunden und Dritten. 



2.7 Informationsorganisation 



Mit seinem Urteil vom 15. Dezember 2005 21 hat der BGH die Notwendigkeit der Einrichtung 
einer untemehmensinternen Informationsorganisation betont. Das Unternehmen habe durch 
organisatorische Maßnahmen zu gewährleisten, dass eine Information alle Stellen des Unter- 
nehmens erreicht, für die diese Information relevant sein kann. 

Dem Urteil lag ein Fall zugrunde, in dem trotz einer über das Vermögen eines Schuldners im 
Insolvenzverfahren veröffentlichten Verfügungsbeschränkung dieser Schuldner ein Bankkon- 
to eröffnete und über die dort eingehenden Beträge verfügte. Der BGH ging davon aus, dass 
die Bank die Verfügungsbeschränkungen seit dem Wirksamwerden der Veröffentlichung im 
Amtsblatt gekannt hat. Aufgrund der Vermutungswirkung, die durch die Veröffentlichung 
entstand (vgl. §§ 82 Satz 2, 9 Abs. 3 InsO) war es an der Bank zu beweisen, dass ihr die 
Verfügungsbeschränkung unbekannt war. 

Dieser Beweis ist ihr insbesondere deshalb nicht gelungen, weil Sie eine funktionierende 
Informationsorganisation nicht darlegen konnte. Der BGH forderte von der Bank den Nach- 
weis einer organisatorischen Vorsorge, damit ihre Kunden betreffende Informationen über die 
Eröffnung von Insolvenzverfahren oder Sicherungsmaßnahmen im Vorfeld der Insolvenzer- 
öffnung von ihren Entscheidungsträgem zur Kenntnis genommen werden. 

Diese Verpflichtung ist in einer entsprechenden, wegen der Möglichkeiten des Zugriffs auf 
Datenspeicher auch zumutbaren Organisation dergestalt umzusetzen, dass ein Informations- 
fluss in alle Richtungen gewährleistet ist. Erforderlich ist also zunächst ein Informationsfluss 
von oben nach unten. Umgekehrt müssen Erkenntnisse, die von einzelnen Angestellten ge- 
wonnen werden, jedoch auch für andere Mitarbeiter und spätere Geschäftsvorgänge erheblich 
sind, die erforderliche Breitenwirkung erzielen. Dazu kann auch ein horizontaler und filial- 
übergreifender Austausch erforderlich sein. 22 

Die Konsequenzen, die der BGH aus dem Fehlen einer entsprechenden Organisation zieht, 
sind erheblich: „Jedenfalls dann, wenn es an derartigen organisatorischen Maßnahmen fehlt, 
muss sich die Bank das Wissen einzelner Mitarbeiter - auf welcher Ebene auch immer diese 
angesiedelt sind - zurechnen lassen“. Diese Aussage des BGH kann - wenn man darin nicht 
lediglich die Aussage sehen möchte, dass sich die Bank all das Wissen zurechnen lassen 



21 BGH v. 15.12.2005 - IX ZR 227/04, NJW-RR 2006, 771 ff. 

22 Vgl. BGH v. 1.6.1989 - III ZR 261/87, WM 1989, 1364, 1367; BGH v. 15.1.2004 - IX ZR 152/00, WM 
2004, 720, 722. 
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muss, das ihr bei sachgerechter Organisation zur Verfügung gestanden hätte - auch dahinge- 
hend verstanden werden, dass eine Wissenszurechnung davon abhängt, welche Vorkehrungen 
das Unternehmen getroffen hat, um einen angemessenen Infonnationsaustausch in vertikaler 
und horizontaler Richtung zu ennöglichen. 

Die Wissenszurechnung würde damit von einem Verschuldenselement abhängig gemacht. 
Jedenfalls dann, wenn das Unternehmen zu wenig getan hat, um seiner Verpflichtung zur 
Gewährleistung einer angemessenen Infonnationsorganisation nachzukommen, wird der 
juristischen Person alles Wissen zugerechnet, was einem Mitarbeiter gleich auf welcher Ebe- 
ne bekannt ist. Im Umkehrschluss kann man daraus schließen, dass sich die juristische Person 
vor Wissenszurechnungen dann schützen kann, wenn sie einen solchen Informationsfluss 
nachweisen kann. Dass diese Grundsätze nur auf Banken beschränkt aufgestellt wurden, ist 
dem Urteil nicht zu entnehmen. Plausible Gründe wird man für eine Differenzierung auch 
nicht angeben können. 

Deshalb tun Unternehmen gut daran, eine Organisation vorzuhalten, die für einen geregelten 
Informationsfluss innerhalb des Unternehmens sorgt. Denn Sie beugen damit in zweifacher 
Hinsicht möglichen Schäden vor: Zum einen können Fehler vermieden werden, weil die 
Entscheidungsträger die richtigen Infonnationen zugrunde legen. Zum Zweiten führt eine 
nachgewiesen gute Infonnationsorganisation zu größeren Entlastungsmöglichkeiten, wenn es 
um Wissenszurechnung geht. Wenn also eine Infonnation trotz einer guten Vorsorge gleich- 
wohl nicht an die richtige Stelle gelangt, wird diese Information - wenn man den Gedanken 
des BGH konsequent zu Ende denkt - auch nicht mehr zugerechnet. 



2.8 Notwendigkeit der Einrichtung einer Abteilung 
„Interne Revision“ 23 



Wie bereits oben dargestellt ist Anknüpfungspunkt für die Pflicht der Einrichtung eines Früh- 
erkennungs- und Überwachungssystems für bestandsgefährdende Entwicklungen der Gesell- 
schaft die Vorschrift des § 91 Abs. 2 AktG. 



2.8.1 Früherkennungs- und Überwachungssystem 
(§ 91 Abs. 2 AktG) 



Die Maßnahmen, die der Vorstand ergreift, müssen geeignet sein, die Früherkennung zu 
gewährleisten. „Dazu gehört namentlich, die frühzeitige und umfassende Kenntnis des Vor- 
stands sicherzustellen, und zwar des Gesamtvorstands, nicht nur seines Vorsitzenden oder 



23 Vgl. hierzu umfassend: Berwanger/Kullmcmn , Interne Revision - Wesen, Aufgaben und rechtliche Veran- 
kerung, 2008. 
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bestimmter Ausschüsse oder Arbeitsgruppen“. 24 Frühzeitig ist die Kenntniserlangung dann, 
wenn eine nachteilige Entwicklung noch so rechtzeitig dem Vorstand bekannt wird, dass 
dieser der Entwicklung entgegenwirken und so eine Bestandsgefahrdung abwenden kann.““ 

Wie bei anderen Leitungsentscheidungen auch hat der Vorstand ein Leitungsermessen insbe- 
sondere hinsichtlich der Art und Form der zu ergreifenden Maßnahmen. Das Ermessen ist am 
Maßstab der konkreten Umstände im Unternehmen (Größe, Branche, Risikopotenzial der 
Märkte, Struktur, Lage des Unternehmens, Kapitalmarktzugang) und der dort in Betracht 
kommenden nachteiligen Entwicklungen auszuüben.“ 

Was den neben den „Maßnahmen“ angesprochenen zweiten Aspekt der Norm - dem Über- 
wachungssystem - betrifft, herrscht Unklarheit, ob das System zur Überwachung der einge- 
leiteten Maßnahmen (so die überwiegende Ansicht) dient oder aber die risikoträchtigen Ent- 
wicklungen selbst zu überwachen sind. Da letztlich dem Begriff der „geeigneten Maßnah- 
men“ auch die Einrichtung einer informationsvermittelnden Organisation zuzuordnen sein 
wird, dürfte die dargelegte Unklarheit für die Praxis kaum eine Rolle spielen.“ 

Das Überwachungssystem meint daher eine untemehmensinteme Kontrolle, die sicherstellen 
soll, dass die zur Früherkennung eingeleiteten Maßnahmen auch greifen, dass also die im 
Rahmen der Früherkennung gewonnenen Erkenntnisse zeitnah an den Vorstand weitergeleitet 
werden. Im Ergebnis wird man § 91 Abs. 2 AktG daher als eine Organisationsanforderung zu 
verstehen haben. Durch klar abgegrenzte Zuständigkeiten, ein engmaschiges Berichtswesen 
und eine entsprechende Dokumentation der Vorgänge wird man daher den Anforderungen 
genügen. 

In der Regel dürfte zu einem angemessenen Überwachungssystem die Interne Revision sowie 
eine Controlling-Abteilung gehören.“ 8 Auch hier kommt es für die Frage der Ausgestaltung 
aber entscheidend auf die Größe,“ Struktur und Lage des Unternehmens, das Risikopotential 
der Märkte, auf dem das Unternehmen tätig ist, sowie die Art des Kapitalmarktzugangs an. 
Keineswegs kann aus § 91 Abs. 2 AktG etwa eine konkrete Zuständigkeit oder Ablauforgani- 
sation der Risikoerfassung gefolgert werden, etwa bis hin zum Erfordernis von Schadensfor- 
mularen etc. - dies mag betriebswirtschaftlich sinnvoll sein, rechtlich zwingend ist es nicht. 
Die Praxis sollte sich gleichwohl darauf einstellen, dass Einrichtungen geschaffen werden 
müssen, die die Funktion der bestehenden Controlling- und Revisionseinrichtungen des Un- 
ternehmens überwachen und eine kurzfristige Information des Vorstands sicherstellen.“ 



24 Hüffer, NZG 2007, 47, 49. 

23 RegBegr. BT-Drucks. 13/9712 Seite 15 reSp. 

26 Hefermehl/Spindler, in: MüKo/AktG 2. Aufl. 2004, § 91 Rn. 20. 

22 Hefermehl/Spindler , in: MüKo/AktG 2. Aufl. 2004, § 91 Rn. 22. 

28 Hefermehl/Spindler , in: MüKo/AktG 2. Aufl. 2004, § 91 Rn. 24. 

29 Als Indiz wird man hier die in § 267 HGB aufgeführten Größenklassen mit heranziehen können. 

30 Hüffer , NZG 2007, 47, 49. 
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Für Kreditinstitute und Finanzdienstleistungsinstitute besteht mit § 25 a KWG eine aufsichts- 
rechtliche Sonderregelung, die von den Instituten eine ordnungsgemäße Geschäftsorganisati- 
on verlangt, die die Einhaltung der von den Instituten zu beachtenden gesetzlichen Bestim- 
mungen gewährleistet. Nach § 25 a Abs. 1 Nr. 1 KWG umfasst eine ordnungsgemäße Ge- 
schäftsorganisation insbesondere ein angemessenes Risikomanagement. Dies beinhaltet auf 
der Grundlage von Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit die 
Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren, die aus einem 
internen Kontrollsystem und einer internen Revision bestehen, wobei das interne Kontrollsys- 
tem dabei insbesondere umfasst: 

■ Aufbau- und ablauforganisatorische Regelungen, die eine klare Abgrenzung der Verant- 
wortungsbereiche umfassen, und 

■ Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommuni- 
kation der Risiken; dabei soll den in Anhang V der Bankenrichtlinie niedergelegten Krite- 
rien Rechnung getragen werden.“ 

Entsprechend dürfte man in diesen Wirtschaftsbereichen über die sich aus § 91 Abs. 2 AktG 
ergebenden Anforderungen hinaus ohne ein „risk management“, ohne Compliance- 
Regelungen und ohne ablaufimmanente Kontrollen nicht auskommen. 31 

Interessant ist diese Vorschrift insbesondere im Hinblick auf ihr Verhältnis zu § 91 Abs. 2 
AktG. Die ganz überwiegende Ansicht möchte diese Vorschrift zwar nicht branchenübergrei- 
fend zur Konkretisierung des § 91 Abs. 2 AktG heranziehen, hält aber eine entsprechende 
Berücksichtigung für zulässig. 32 Andererseits hat die Rechtsprechung die Norm schon zur 
Ausfüllung des § 91 AktG auch bei branchenfremden Unternehmen herangezogen. 33 In seiner 
Entscheidung vom 8. Juli 2004 war das Verwaltungsgericht Frankfurt a. M. der Ansicht „dass 
sich diese Norm [d.h. § 91 Abs. 2 AktG, Anm. d. Verf.] und § 25a Abs. 1 KWG [in] ihrer 
rechtlichen Bedeutung entsprechen [...], so dass die in § 25a KWG gesetzlich genauer ge- 
fassten Anforderungen bei der Auslegung des § 91 Abs. 2 AktG herangezogen werden kön- 
nen [...]. Diese weitgehende Sichtweise entspricht nach Auffassung der erkennenden Kam- 
mer der Gesamtintention des Gesetzgebers der [...] die Verpflichtung der Geschäftsleitung 
hervorheben wollte, Risikofrüherkennungs- sowie Risikoüberwachungssysteme in den Un- 
ternehmen einzurichten, um Entwicklungen vorzubeugen, die den Fortbestand der Gesell- 
schaft gefährden können“. 34 Auch wenn die nachfolgende Argumentation des Gerichts darauf 
hindeuten könnte, dass man die entsprechende Heranziehung des § 25a KWG nur auf Versi- 
cherungsunternehmen erstrecken möchte, wird sich die Praxis sicherheitshalber auch an den 
Vorgaben des § 25a KWG orientieren müssen. 



31 Hüffer, ebd. 

32 Hüffer , ebd. m.w.N. 

33 VG Frankfurt a.M. v. 8. Juli 2004 - 1 E 7363/03 (I), WM 2004, 2157, 2160. 

34 Ebd. 




Pflichten der Geschäftsleitung & Aufbau einer Compliance Organisation 



57 



2.8.2 Ausstrahlungswirkung auf GmbH? 

Inwieweit § 91 Abs. 2 AktG, der grundsätzlich nur auf Vorstände von Aktiengesellschaften 
Anwendung fmdet, auch auf andere Gesellschaftsformen zu übertragen ist, wird - jedenfalls was 
das Ausmaß der Auswirkungen betrifft - unterschiedlich beurteilt. Der Gesetzgeber hat eine 
Ausstrahlungswirkung - ohne deren konkrete Reichweite darzulegen - ausdrücklich formuliert: 

„In das GmbHG soll keine entsprechende Regelung aufgenommen werden. Es 
ist davon auszugehen, dass fiir Gesellschaften mit beschränkter Haftung je nach 
ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neure- 
gelung Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer 
auch anderer Gesellschaftsformen hat". 

Da der Gesetzgeber jedoch - obwohl es ihm leicht gefallen wäre - keine entsprechende Re- 
gelung in das GmbHG eingeführt hat, wird man auch eine gänzlich gleichlaufende Verpflich- 
tung nicht annehmen dürfen. Auch die Struktur bspw. der GmbH mit einem dem Vorstand 
gegenüber nicht ähnlich starken, nämlich weisungsgebundenen Leitungsorgans widerspricht 
einer „eins-zu-eins“ Übertragung. Vielmehr wollte der Gesetzgeber die Reichweite der Norm 
der weiteren Entwicklung in Rechtsprechung und Literatur überlassen. 6 Andererseits lässt 
sich schon aus § 43 Abs. 1 GmbHG ableiten, dass den Geschäftsführer die Verpflichtung 
trifft, sich um die rechtzeitige Erkennung von Krisen- Anzeichen zu bemühen. 3 ' Schon ohne 
einen Rückgriff auf die Norm des § 91 Abs. 2 AktG wird sich ein Geschäftsleiter nur dann - 
bei Nichteinrichtung einer Abteilung „Interne Revision“ - der Haftung entziehen können, 
wenn er auf ausreichender Informationsbasis eine den Gegebenheiten des Unternehmens 
angemessene Ermessensentscheidung über Einführung, Augestaltung und Umfang einer 
internen Kontrolle trifft. 38 

Bei dieser Entscheidung ist jedoch die gesetzgeberische Intention in § 92 Abs. 2 AktG mit zu 
berücksichtigen. Wenn auch die Reichweite der Ausstrahlung unklar ist, ist man sich doch 
einig, dass die Norm auch in andere Rechtsformen hineinwirkt. Der Gesetzgeber hat aber 
deutlich gemacht, dass er grundsätzlich auf eine Einrichtung derartiger Maßnahmen und 
entsprechender Überwachungssysteme hinarbeitet. Dies bedeutet für die Geschäftsleiter, dass 
sie sich von vornherein einem erhöhten Rechtsfertigungsdruck aussetzen, wenn sie sich ge- 
gen die Einrichtung entsprechender Systeme entscheiden. 

Die Notwendigkeit der Einrichtung einer Abteilung „Interne Revision“ wird man für die 
GmbH daher erst dann aus § 91 Abs. 2 AktG ableiten können, wenn diese dem in § 91 Abs. 2 
AktG zugrundegelegten Leitbild eines komplexen Großunternehmens so stark entspricht, 



35 RegBegr. BT-Drucks. 13/9712 Seite 15 reSp. 

36 Drygala/Drygala, ZIP 2000, 297, 300 mwN. 

37 Westermann, DZWIR 2006, 485, 387. 

33 In diese Richtung argumentierend Drygala/Drygala, ZIP 2000, 297 , 303 f. Nur klarstellend ist festzuhal- 
ten, dass es in der Frage, ob nachgeordnete Entscheidungsebenen von der Führungsebene zu überwachen 
sind, sicherlich kein unternehmerisches Leitungsermessen gibt, allerdings ist es eine andere Frage, ob eine 
derartige Überwachung in der von § 91 Abs. 2 AktG angestrebten Organisationsstruktur umzusetzen ist. 




58 



Gregor Wecker / Stefan Galla 



dass eine Nichtanwendung der aktienrechtlichen Vorschrift systemwidrig wäre . 39 Wie bei der 
Aktiengesellschaft kommt es damit auch bei der GmbH letztlich auf eine Untemehmensan- 
gemessene Organisationsstruktur an, die je nach Größe, Struktur und Risikopotential des 
Unternehmens auszugestalten ist. 



Praxishinweis 

Kann das Unternehmen - auch wenn es in der Rechtsform der GmbH besteht - nach den 
in der Regierungsbegründung beispielhaft genannten Faktoren (Struktur, Größe o. ä.) dem 
Kreis der Unternehmen zugeordnet werden, die einer Aktiengesellschaft entsprechen, wie 
sie § 91 Abs. 2 AktG vor Augen hat, spricht vieles dafür, auch in einer Gesellschaft in der 
Rechtsform einer GmbH eine interne Revision einzurichten. Vorzugsweise dürften mit Hilfe 
eines externen Beraters zunächst die revisionsrelevanten Risken zu identifizieren sein, um 
eine entsprechende Themenliste für die Interne Revision und entsprechend die notwendi- 
gen Kapazitäten der Revisionsabteilung herausarbeiten zu können. 

Kommt die Geschäftsleitung ihren dergestalt ausgeformten Verpflichtungen aus § 91 
Abs. 2 AktG nicht nach, haften die Vorstandsmitglieder der Gesellschaft gegenüber gemäß 
§ 93 Abs. 2 S. 1 AktG. Die Nichteinhaltung der Pflichten nach § 91 Abs. 2 AktG kann zu- 
dem ein wichtiger Grund zur Abberufung und fristlosen Kündigung sein. Für die Geschäfts- 
leitung einer GmbH könnte man - wenn man § 91 Abs. 2 AktG in seiner Ausstrahlungswir- 
kung als Konkretisierung des § 43 Abs. 1 GmbHG verstehen möchte - eine Haftung nach 
§ 43 Abs. 2 GmbHG annehmen. 



3. Umsetzung einer Compliance Organisation 



Außer der Einrichtung einer internen Revision als Teil einer Compliance Struktur - zumin- 
dest für große Unternehmen - gibt es weitere organisatorische Möglichkeiten, die Complian- 
ce Struktur im Unternehmen zu verbessern. 



39 Veil , ZGR 2006, 374, 376 f. m.w.N.; Dn’gala/Drygala, ZIP 2000, 297, 305; noch strenger Altmeppen, 
ZGR 1999, 291,301 f. 
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3.1 Planung der Compliance Organisation 



Für die Planung der Compliance-Organisation sollte zunächst im Rahmen einer untemeh- 
mensinternen „Due Diligence“ eine Art Bestandsaufnahme bereits bestehender Abläufe und 
Überwachungssysteme durchgeführt werden. Im Anschluss sollten die Ziele des Gesamtpro- 
jekts definiert und die grundsätzliche Herangehensweise festgelegt werden. 



3.1.1 Baukastensystem vs. Komplettlösung 

Je nachdem welches Überwachungssystem im Unternehmen bereits etabliert ist und welche 
Faktoren für das Unternehmen eine Rolle spielen (Größe/Branche/Risikopotential der Märk- 
te), muss entschieden werden, ob die Einführung einer umfassenden „Komplettlösung/ Teil- 
systeme“ erforderlich ist. Vorhandene Systeme müssen auf Einheitlichkeit von Abläufen und 
eventuelle Verknüpfbarkeit überprüft werden. 



3.1.2 Identifikation Pflichtenkreise 

Im Rahmen einer Due -Diligence oder Compliance Audit müssen die für das Unternehmen 
und seine Mitarbeiter relevanten Pflichtenkreise definiert werden. Hierbei gibt es branchen- 
unabhängige Pflichtenkreise wie beispielsweise 

■ Arbeitssicherheit 

■ Allgemeine Gleichbehandlung 

■ Geräte- und Produktsicherheit 

■ Wettbewerbsrecht 

■ Datenschutzrecht 

■ Strafrecht (Integrität) 

■ Außenhandelsrecht 



■ Geldwäscherecht 
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Aus diesen Pflichtenkreisen resultierende Vorgaben und notwendigen Abläufe müssen defi- 
niert und Verantwortungsbereichen und somit auch Mitarbeiterkreisen zugeordnet werden. 
Ergänzend muss diese Vorgehensweise für branchenbezogene Pflichtenkreise durchge- 
führt werden. Beispiele hierfür sind: 

■ Umweltrecht (insb. Immissionsschutzrecht / Kreislaufwirtschafts- und Abfallrecht) 

■ Gentechnikrecht 

■ Arzneimittelrecht 

■ Kreditwesenrecht 

■ Versicherungsaufsichtrecht 

Die aus diesen Pflichtenkreisen resultierenden Handlungsanweisungen, Verhaltensvorschrif- 
ten Standards und Sanktionen können z. B. im Rahmen eines Handbuchs festgehalten und 
über Schulungsmaßnahmen den Mitarbeitern aufgezeigt werden (s. u.). 



3.1.3 Entwicklung der Compliance-Struktur 

Für das Grundgerüst einer Compliance Organisation werden stets einige Grundlagen zu be- 
achten sein. Zunächst wird der Chief Compliance Officer („CCO“) dem Vorstandsvorsitzen- 
den direkt unterstellt und berichtspflichtig sein müssen, um für eine weitgehende Unabhän- 
gigkeit im Unternehmen zu sorgen. Sofern erwünscht kann dem CCO ein unabhängiges Kon- 
trollgremium (Compliance Committee) zur Seite gestellt werden, das aus externen Experten 
bestehen kann. Sofern als Teil der Compliance Organisation auch ein Ombudsmann im Rah- 
men einer Whistle-Blowing Hotline installiert werden soll, wird dieser ähnlich dem CCO nur 
dem Vorstandsvorsitzenden berichtspflichtig sein müssen, um Unabhängigkeit zu gewährleis- 
ten. Selbstverständlich muss ein Austausch mit dem CCO hinsichtlich Compliance Verstößen 
gewährleistet sein. In den Stabsabteilungen und in allen weiteren Unterabteilungen sind je- 
weils für die Überwachung der Compliance verantwortliche Mitarbeiter zu benennen, welche 
natürlich auch entsprechend zu schulen sind. Auf allen Ebenen besteht die Pflicht zur eigen- 
ständigen Überwachung und Kontrolle im eigenen Verantwortungsbereich. Entsprechend 
sollte eine Dokumentationspflicht über die Compliancetätigkeit bestehen. Die Struktur einer 
Compliance Organisation könnte beispielsweise folgendermaßen aussehen: 
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Abbildung 1: Struktur einer Compliance Organisation 40 



3.2 Handbücher und Compliance Systeme 



Zur Begrifflichkeit und Grundlage eines sog. Code of Conduct bzw. Code of Ethic wurde 
bereits oben Stellung genommen. 



3.2.1 Compliance Handbücher 

Handbücher können ein sinnvoller Baustein einer Compliance Struktur sein. Wichtig ist 
hierbei zunächst eine genaue Festlegung der Adressatenkreise des Handbuchs. Sinnvoll sind 
neben allgemeinen Handlungs- und Verhaltensanweisungen, getrennte Handbücher für unter- 
schiedliche Pflichtenkreise im Unternehmen, da sich etwa für die Produktion oder den Ver- 
trieb völlig andere Pflichtenkreise ergeben können, als beispielsweise für die Verwaltung. Die 
genaue Zuordnung der gesetzlichen Pflichtenkreise und der Adressaten im Unternehmen ist 
daher Erfolgsvoraussetzung. 



40 In Anlehnung an: Rodewatd/Unger, BB 2007, 1629, 1632. 
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Da über Handbücher den Mitarbeitern die von ihnen zu beachtenden Pflichten und gesetzli- 
chen Vorgaben erläutert werden, reicht es nicht aus, Handbücher bloß zur Verfügung zu stel- 
len. Vielmehr muss sichergestellt und überprüft werden, dass jeder Mitarbeiter die für ihn 
geltenden Lektionen kennt. Es bietet sich daher an, die Mitarbeiter in Pflichtschulungen über 
die relevanten Pflichtenkreise zu schulen. Dies kann in herkömmlicher Art oder über Internet 
oder Telefonschulungen bewältigt werden. Bei der Auswahl des Schulungsmediums ist zu 
berücksichtigen, wie eine möglichst hundertprozentige Abdeckung der betroffenen Mitarbei- 
ter sichergestellt werden kann. Je nach Unternehmen kann eine hohe Einbeziehungsquote am 
besten über Intemetschulungen erreicht werden. Zudem haben solche „modernen“ Schu- 
lungsmaßnahmen den Vorteil, dass jeder Mitarbeiter die Schulung zu einem ihm passenden 
Zeitpunkt am PC durchführen kann und ein minimaler Zeitaufwand hierfür notwendig ist. 
Die Vermeidung von Arbeitsausfall und Reisekosten ist bei der Entscheidung zwischen her- 
kömmlicher Schulungsveranstaltung und eLeaming sicher ein wichtiger Faktor, der ggf. 
mögliche Mehrkosten z. B. für eLeaming-Programme ausgleichen kann. 



3.2.2 IT- Systeme zur Sicherstellung der Compliance 

Vision der Systemhersteller ist es, Compliance-Management Lösungen bereitzustellen, die 
dauerhaft die laufenden Compliance-Kosten senken. Hauptziele sind hierbei die Erfassung 
aller gesetzlichen Pflichten, die Rationalisierung und Sammlung von Compliance-Daten und 
die Erweiterung der Nachweisführung durchgeführter Compliance-Maßnahmen. Die Benut- 
zerfreundlichkeit und die Verknüpfung mit weiteren Anwendungen wie z. B. einem integrier- 
ten Dokumentenmanagement spielen hierbei eine wichtige Rolle. 



Beteiligungsmanagementsysteme 

Beteiligungsmanagementsysteme können gerade bei großen Konzernen mit einer großen 
weltweiten Streuung von Tochterunternehmen für Transparenz trotz unglaublicher Daten- und 
Informationsdichte sorgen. Sind die Informationen erst eingepflegt, stehen sie weltweit auf 
Knopfdruck über die Intemetoberfläche allen berechtigten Nutzern zur Verfügung. 

Voraussetzung für ein erfolgreiches Beteiligungsmanagement ist jedoch, dass bei der Eingabe 
der entsprechenden Untemehmensdaten mit äußerster Sorgfalt vorgegangen wird. Werden 
Daten von zuvor genutzten alten Systemen einfach ungeprüft auf ein neues globales IT- 
System überspielt, werden auch die Fehler mit übernommen. Die Akzeptanz einer fehlerbe- 
hafteten Datenbank dürfte sich jedoch in Grenzen halten. 

Für gesellschaftsrechtliche Keminformationen empfiehlt sich daher bei der Einrichtung eines 
solchen Systems vor der Datenmigration zunächst eine Überprüfung (Due -Diligence) der 
Daten vorzunehmen. 
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Es bietet sich zudem an, Beteiligungsmanagementsysteme um weitere Komponenten einer 
Compliance Struktur zu ergänzen. Moderne Systeme bieten die Möglichkeit der Durchfüh- 
rung von Schulungen über das Internet an. Die heute am Markt verfügbaren Systeme bieten 
die technischen Möglichkeiten, um beispielsweise Schulungen für bestimmte Personenkreise 
durchzuführen und dies auch zu dokumentieren. Darüber hinaus bringt der Einsatz solcher 
Systeme eine enorme Datensicherheit und sorgt folglich in hohem Maße zur Verbesserung 
der Compliance im Unternehmen. 



IT-Systeme und eLearning 

Andere Systeme, wie beispielsweise ein kanadisches System, dienen vornehmlich der Über- 
prüfung des aktuellen Compliance Maßstabs und ersetzen insofern in erster Linie händische 
Checklisten. Ähnlich wie bei den Compliance Handbüchern werden zunächst die Pflichten- 
kreise nebst konkret anwendbaren Vorschriften analysiert. Diese Analyse wird in den jeweili- 
gen Ländern von Juristen durchgeführt. Anschließend werden die anwendbaren gesetzlichen 
Vorschriften in separat zuweisbare Aufgaben einzelner Führungskräfte übersetzt. Diese Füh- 
rungskräfte werden dann über das Internet halbjährlich einer Prüfung unterzogen und müssen 
zu wichtigen Sachverhalten und Pflichten konkret Stellung nehmen. Dabei werden die gesetz- 
lichen Vorschriften jeweils in vereinfachter Sprache dargesteht und es wird erklärt, warum 
welche gesetzliche Vorschrift einzuhalten ist. Die so abgelieferten Compliance-Berichte 
werden auf Übereinstimmung mit den gesetzlichen Vorschriften geprüft und gespeichert. 
Sofern Beanstandungen erforderlich sind, erhält die jeweilige Führungskraft eine Aufforde- 
rung zur Nachbesserung. Dieses System, das Schulung und Reporting verknüpft, wird zurzeit 
noch überwiegend von Versicherungsuntemehmen und Banken in den USA und in Kanada 
genutzt. 



4. Beispiele und Kontrollsysteme 



Täglich vorkommende Pressemeldungen zu compliancebezogenen Vorkommnissen machen 
deutlich, dass das Thema Compliance bei vielen Unternehmen noch nicht mit letzter Konse- 
quenz bearbeitet wird. Als Beispiel können die Korruptionsfalle bei Siemens und DaimlerCh- 
rysler, sowie die Vorfälle mit Sonderzahlungen und Vergnügungsreisen für Betriebsräte he- 
rangezogen werden. Laut Zeitungsmeldungen waren beispielsweise bei Siemens jeweils hoch 
in der Hierarchie angesiedelte Führungskräfte in diese Fälle verwickelt, allerdings hegen 
keine Indizien für eine Bereicherung der Manager zu Lasten ihres Arbeitgebers vor. Hieraus 
lässt sich wiederum schließen, dass die Manager glaubten, bei der Bestechung zur Erlangung 
von Aufträgen im Interesse ihres Unternehmens zu handeln. Gerade die zweite und dritte 
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Führungsebene kann man durch Schulungen leicht auf Verhaltensvorschriften einschwören. 
Hätte der Vorstand somit unmissverständlich über Verhaltensanweisungen zum Ausdruck 
gebracht, dass die Zahlung von Bestechungsgeldem dem Unternehmen schadet und zwingend 
zu unterlassen ist, wäre ein solcher Irrglauben der Manager eigentlich ausgeschlossen. 

Hätte die Bank in dem vom BGH 41 entschiedenen und oben zum Thema Informationsorgani- 
sation dargestellten Fall ein System eingeführt, in welches Verfügungsbeschränkungen einge- 
tragen und mit den Namen und Kontendaten von Kunden verknüpft werden, wäre es zu ei- 
nem solchen Fall nicht gekommen. 

Die Beispielsfalle zeigen, dass die notwendigen Compliance Maßnahmen für Unternehmen je 
nach Branche sehr unterschiedlich ausfallen können. Nicht immer sind IT-gestützte Lösungen 
der Weisheit letzter Schluss. Grundsätzlich gilt jedoch, dass moderne Systeme insbesondere 
für große Unternehmen eine emonne Erleichterung darstellen können. Angefangen mit der 
Verbesserung der Datengenauigkeit durch Nutzung von Beteiligungsmanagement - oder 
Vertragsmanagementsystemen, über eLeaming und Handbücher dürfte im Schadensfall eins 
jedenfalls immer gelten: Wer umfangreiche Maßnahmen getroffen hat, steht sowohl vor der 
Staatsanwaltschaft als auch in der Öffentlichkeit und bei Investoren besser dar. Zudem dürfte 
den Organen der Unternehmen die Möglichkeit vieler IT-Systeme, Compliance Maßnahmen 
genau zu dokumentieren, im Hinblick auf eine drohende Haftung bei unterlassener Überwa- 
chung sehr gelegen kommen. 



5. Fazit 



Als Fazit bleibt die Aussage: Arbeite ordentlich und dokumentiere, dass du ordentlich gear- 
beitet hast! 



41 BGH V. 15.12.2005 - IX ZR 227/04, NJW-RR 2006, 771 ff. 
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Zusammenfassung 

Schlechtes Krisenmanagement beim Umgang mit einer Produktkrise kann für das betroffene 
Unternehmen in jeglicher Hinsicht teuer werden. Im „worst case“ endet sie in der strafrecht- 
lichen Verantwortlichkeit der handelnden Personen. Ein gut aufgestelltes Unternehmen sorgt 
auch für diesen Ernstfall rechtzeitig vor - und entledigt sich durch ein vorausschauendes 
Handeln bereits im Vorfeld einer Vielzahl von Problemen. Der vorliegende Beitrag erläutert, 
woran hier im Einzelnen zu denken ist. 



1. Einleitung 



Produkthaftung stellt insbesondere in produzierenden Unternehmen ein sehr weites Feld dar. 
Die proaktive Vermeidung von Schäden und Risiken aus Produkthaftung - das Betätigungs- 
feld von „Compliance“ - verlangt nicht zuletzt deshalb sehr umfangreiche und komplexe 
Prozesse. Im Rahmen einer proaktiven Betrachtung sollte der Umgang mit Produkthaftung 
nicht auf die Produkthaftung im engeren rechtlichen Sinne begrenzt werden, sondern sämtli- 
che Gefahren und Schäden aus schadhaften, riskanten, nicht regelkonformen oder sonstig 
schadensstiftenden Produkten mit umfassen. Ausgehend von der rechtlichen Natur möglicher 
Ansprüche gegen den Hersteller solcher Produkte, sind hier drei Rechtsquellen zu berück- 
sichtigen: vertragliche Gewährleistung (etwa §§ 433 ff. BGB bei Kaufverträgen), Delikts- 
recht (§§ 823 ff BGB) sowie das Produkthaftungsgesetz. 





